julio 2018 - MundoDsign

El RGPD (Reglamento General de Protección de Datos de la Unión Europea) es una normativa que acaba de entrar en vigor el 25 de Mayo de 2018, y que supone un cambio en la materia de protección de datos. Su amplio alcance es aplicable a cualquier organización que maneje información privada de ciudadanos de la UE.

De esta forma, se impone una extensa lista de protecciones sobre esos datos, limitaciones sobre cómo se usan y la obligación de notificar y pedir el consentimiento del usuario en un amplio número de situaciones, lo que significa que las organizaciones deben comenzar ya a planificar su estrategia de cumplimiento.

El reglamento

El RGPD o GDPR (por sus siglas en inglés, “General Data Protection Regulation”) de la Unión Europea tendrá consecuencias considerables para muchas organizaciones. Al establecer la protección de datos como un derecho fundamental (no sólo como un derecho del cliente), el RGPD confiere una gran responsabilidad a todas las organizaciones que manejan datos personales de ciudadanos de la Unión Europea.

Una de las principales razones por las que el RGPD va a tener un alto impacto es la magnitud de las sanciones por incumplimiento, que pueden alcanzar hasta un 4% de los ingresos de la empresa. También puede requerirse que el aviso sobre la brecha se realice en un plazo de tiempo muy corto (72 horas) si el control sobre los datos personales se ve comprometido.

Pero independientemente de las multas, debe quedar claro que la intención principal de este reglamento es garantizar el derecho de privacidad al tiempo que se preserva la posibilidad de “libre circulación” de datos personales.

En este sentido, el RGPD no debe ser considerado como algo negativo, sino todo lo contrario, porque proporciona reglas bajo las cuales se posibilita el procesamiento de datos e información personal.

Derechos garantizados por el RGPD

El objetivo principal del RGPD es definir los Derechos de protección de datos que se van a otorgar a todos los ciudadanos de la UE. La regulación se centra en la obligatoriedad de esos Derechos.

Así, los elementos centrales del RGPD detallan una serie de Derechos con respecto a cómo se usan sus datos. La lista es extensa, pero los puntos más importantes son los siguientes:

• Las organizaciones deberán obtener el consentimiento del ciudadano para procesar sus datos, y este consentimiento debe obtenerse de una manera clara para él (no, por ejemplo, una página de texto con una casilla “Aceptar” en la parte inferior).

• Asimismo, habrán de informar al ciudadano sobre qué datos se están recopilando, con qué propósito se están utilizando, dónde se están procesando y con qué otras organizaciones podrían ser compartidos.

• También se deben aportar explicaciones de la lógica implicada en cualquier proceso automatizado que se esté realizando con los datos de una persona.

• Se reconoce el derecho a ser olvidado, es decir, a solicitar que se eliminen todos los datos sobre un individuo, al igual que se reconoce también el derecho a transferir fácilmente los datos de una organización a otra.

Este amplio conjunto de Derechos va a suponer una carga significativa para cualquier organización que maneje datos de ciudadanos de la UE.

Principios del RGPD

Más allá de los Derechos de los ciudadanos, el RGPD define un conjunto de “principios” que han de regir todo procesamiento de datos personales. Si una organización no puede demostrar que está operando bajo estas condiciones, entonces sus actividades pueden ser consideradas ilegales en el marco de la normativa.

Un principio clave es que los datos sólo pueden ser recopilados “con fines específicos, explícitos y legítimos”, lo que significa que no se acepta recopilar primero los datos y averiguar más tarde cómo se podrían utilizar. Además, sólo se podrá recopilar la cantidad mínima de datos necesaria para realizar la tarea en cuestión. Y no se podrán conservar los datos en un formato que permita una fácil identificación de las personas involucradas una vez que ya no sean necesarios para el propósito original.

Y, lo más relevante para los profesionales de la seguridad, el RGPD establece que el procesamiento debe procesarse de manera que se garantice “la seguridad, la integridad y la confidencialidad de los datos”. Estas directrices especifican que los controladores y encargados del proceso de datos deben implementar controles que aseguren

• La seudonimización y el cifrado de datos personales.

• La capacidad de garantizar la confidencialidad, integridad, disponibilidad, etc… de los sistemas y servicios de tratamiento.

• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Resumiendo

El nuevo Reglamento de la Unión Europea va a tener consecuencias de gran alcance para muchas organizaciones. El RGPD es una regulación emergente, y aún no está totalmente definida.

Sin embargo, la intención de la normativa respecto a la protección de datos sí está clara y, por tanto, ya se puede comenzar a planificar el cumplimiento. Es necesario diseñar y desarrollar la estrategia a seguir en áreas como clasificación de
datos, definición de alcance, políticas de uso de datos, sistemas de notificación, etc.

La combinación de estas soluciones permitirá a las organizaciones avanzar hacia el cumplimiento de la nueva ley de una manera eficiente y con los datos de los usuarios más protegidos que nunca.