El GDPR (Reglamento general de protección de datos) es un Reglamento de la UE (Unión Europea) que mejora significativamente la protección de los datos personales de los ciudadanos de la UE y aumenta las obligaciones de las organizaciones que recopilan o procesan datos personales. El reglamento se basa en muchos de los requisitos de la Directiva de 1995 para la privacidad y seguridad de los datos, pero incluye varias disposiciones nuevas para reforzar los derechos de los interesados ​​y agregar sanciones más severas por violaciones. La regulación entró en vigencia el 25 de mayo de 2018.

El RGPD se aplica a las empresas que a) comercializan sus productos a personas en la UE o que b) controlan el comportamiento de las personas en la UE. En otras palabras, incluso si tiene su sede fuera de la UE pero controla o procesa los datos de los ciudadanos de la UE, el RGPD se le aplicará.

Consentimiento

El RGPD refuerza el estándar para las divulgaciones al obtener el consentimiento, ya que debe ser "otorgado libremente, específico, informado e inequívoco", y los controladores deben utilizar un lenguaje legal "claro y sencillo" que sea "claramente distinguible de otros asuntos". También se requerirá que los controladores proporcionen evidencia de que sus procesos cumplen y se siguen en cada caso.

Esencialmente, no se puede obligar a su cliente a dar su consentimiento o no saber que está dando su consentimiento para procesar sus datos personales. También deben saber exactamente a qué están dando su consentimiento y deben ser informados con anticipación de su derecho a retirar ese consentimiento. Obtener el consentimiento requiere una indicación positiva de acuerdo; no se puede inferir del silencio, casillas previamente marcadas o inactividad. Esto significa que informar al usuario durante la suscripción es cada vez más importante.

Nuevos derechos para las personas

El reglamento también incorpora dos nuevos derechos para los interesados: un "derecho al olvido" que requiere que los responsables del tratamiento avisen a los destinatarios posteriores de las solicitudes de eliminación y un "derecho a la portabilidad de los datos" que permite a los interesados ​​exigir una copia de sus datos en un formato común. Estos dos derechos facilitan a los usuarios solicitar que se elimine cualquier información almacenada o que la información que se haya recopilado se comparta con ellos.

Solicitudes de acceso

Los interesados ​​siempre tuvieron derecho a solicitar el acceso a sus datos. Pero el RGPD mejora estos derechos. En la mayoría de los casos, no podrá cobrar por procesar una solicitud de acceso, a menos que pueda demostrar que el costo será excesivo. El plazo para procesar una solicitud de acceso también se reducirá a un período de un mes (pero esto puede extenderse otros dos meses en algunas circunstancias. En ciertos casos, las organizaciones pueden negarse a otorgar una solicitud de acceso, por ejemplo, cuando la solicitud se considera manifiestamente infundada o excesiva. Sin embargo, las organizaciones deberán tener políticas y procedimientos de denegación claros en su lugar, y demostrar por qué la solicitud cumple con estos criterios.

Privacidad por diseño y DPIA

Existen varios principios nuevos para las entidades que manejan datos personales, incluido el requisito de incorporar la privacidad de los datos "por diseño" cuando se desarrollan nuevos sistemas y la obligación de realizar una Evaluación del impacto de la privacidad de los datos (DPIA) cuando se procesan con "nuevas tecnologías" o en formas arriesgadas. Una DPIA es un proceso de considerar sistemáticamente el impacto potencial que un proyecto o iniciativa podría tener en la privacidad de las personas, de modo que los problemas potenciales de privacidad puedan identificarse antes de que surjan, dando a la organización tiempo para idear una manera de mitigarlos antes de que se produzca. El proyecto está en marcha.

Oficial de privacidad de datos

Por el lado de la seguridad, el GDPR requiere que muchas empresas tengan un Oficial de Privacidad de Datos (DPO) para ayudar a supervisar sus esfuerzos de cumplimiento. Las organizaciones que requieren DPO incluyen autoridades públicas, organizaciones cuyas actividades implican el seguimiento regular y sistemático de los interesados ​​a gran escala, u organizaciones que procesan datos personales confidenciales a gran escala.

Contratos y documentación de privacidad

Dado que el GDPR tiene que ver con la transparencia y la justicia, los controladores y procesadores deben revisar sus avisos de privacidad, declaraciones de privacidad y cualquier política de datos internos para asegurarse de que cumplen con los requisitos del GDPR. Si un controlador contrata a proveedores externos para procesar los datos personales bajo su control, debe asegurarse de que sus contratos con esos procesadores se actualicen para incluir las nuevas disposiciones obligatorias sobre procesadores establecidas en el artículo 28 del Reglamento. Del mismo modo, los procesadores deben considerar qué cambios deberán realizar en los contratos de sus clientes para cumplir con el RGPD.

Ventanilla única

Un elemento en particular del RGPD debería servir para facilitar la vida de estos Oficiales de Protección de Datos: la nueva disposición del RGPD de "ventanilla única", según la cual las organizaciones con oficinas en varios países de la UE tendrán una "autoridad supervisora ​​principal" para actuar como un punto central de aplicación para que no luchen con instrucciones inconsistentes de múltiples autoridades supervisoras.

Informar infracciones

El GDPR contiene el requisito de que los controladores deben notificar a la autoridad supervisora ​​de su país sobre una violación de datos personales dentro de las 72 horas posteriores a su conocimiento, a menos que los datos sean anónimos o encriptados. En la práctica, esto significará que la mayoría de las violaciones de datos deben informarse al Comisionado de Protección de Datos. Las infracciones que puedan causar daño a una persona, como el robo de identidad o la violación de la confidencialidad, también deben informarse a las personas interesadas.

Alcance

El RGPD se aplica a empresas no pertenecientes a la UE que comercializan sus productos a personas de la UE o que controlan el comportamiento de las personas en la UE. En otras palabras, incluso si tiene su sede fuera de la UE pero controla o procesa los datos de los ciudadanos de la UE, es probable que el GDPR se aplique a usted.

Responsabilidad

Este concepto requiere que los Controladores y Procesadores puedan demostrar su cumplimiento con el GDPR a su autoridad de supervisión local. Los procesos deben registrarse, implementarse y revisarse periódicamente. El personal debe estar capacitado y deben tomarse las medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento.

Glosario del RGPD

Sujeto de datos

Una persona que vive en la UE

Información personal

Cualquier información relacionada con un sujeto de datos identificado / identificable (por ejemplo, nombre, número de identificación nacional, dirección, dirección IP, información de salud)

Controlador

Una empresa / organización que recopila datos personales de las personas y toma decisiones sobre qué hacer con ellos. Por lo tanto, si está recopilando datos personales y está determinando cómo se procesarán (por ejemplo, utilizando los servicios de HubSpot para comercializar a clientes potenciales y clientes), usted es el controlador de esos datos y debe cumplir con la legislación de privacidad de datos correspondiente.

Procesador

Una empresa / organización que ayuda a un controlador al “procesar” datos según sus instrucciones, pero no decide qué hacer con los datos. Entonces, por ejemplo, HubSpot es el procesador de los datos que recopila en su portal de HubSpot. No controlamos cómo recopila o usa los datos; simplemente lo procesamos en su nombre y siguiendo sus instrucciones.

Procesando

Cualquier operación o conjunto de operaciones que se realice sobre datos personales o sobre conjuntos de datos personales, por medios automatizados o de otro tipo, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión. , difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción.

Delegado de protección de datos (DPO)

Un representante de un controlador / procesador que supervisa el cumplimiento de GDPR y es un experto en privacidad de datos

Evaluación del impacto de la privacidad de los datos (DPIA)

Una evaluación documentada de la utilidad, los riesgos y las opciones de mitigación de riesgos para un cierto tipo de procesamiento.

Autoridad supervisora

Anteriormente llamadas "autoridades de protección de datos"; una o más agencias gubernamentales en un estado miembro que supervisan la aplicación de la privacidad de los datos de ese país (por ejemplo, la Oficina del Comisionado de Protección de Datos de Irlanda, las 18 autoridades nacionales / regionales de Alemania)

Países del Tercer Mundo

Países fuera de la UE

Cláusulas contractuales estándar

Las SCC, a / k / a "cláusulas modelo" son un lenguaje de contrato estandarizado (aprobado por la Comisión Europea) que es un método de permiso para que los controladores / procesadores envíen datos personales a terceros países. Las SCC se incluyen en el Anexo 1 de nuestro Acuerdo de procesamiento de datos).