GLOSARIO DE TÉRMINOS
GDPR: Lo que debes saber sobre el reglamento general de protección de datos
En Mayo de 2018, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) entra en vigor para mejorar la protección de datos personales.
El GDPR va a tener un Impacto significativo para las organizaciones y su forma de manejar los datos, con sanciones potencialmente muy grandes para aquellas empresas que sufran una violación, llegando hasta un 4% de los ingresos globales.
GDPR impacta directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de un individuo y afecta a cualquier organización a nivel mundial que procese datos personales de personas de la Unión Europea.
1. ¿Qué es GDPR, a quién se le aplica y sobre qué información?
El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE). También se ocupa de la exportación de datos personales fuera de la UE. El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. Cuando el GDPR surta efecto, sustituirá a la Directiva de protección de datos (oficialmente Directiva 95/46 / CE) de 1995. El Reglamento fue adoptado el 27 de abril de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.
El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas; sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de la protección de datos con severas sanciones de hasta el 4% del volumen de negocios mundial.
¿Por qué se redactó el GDPR?
Las razones detrás del GDPR son dos. En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para el uso de sus servicios. La legislación actual fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, y el GDPR busca abordar eso. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.
En segundo lugar, la UE quiere dar a las empresas un entorno jurídico más simple y más claro para operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único (la UE estima que esto ahorrará a las empresas un colectivo de 2.300 millones de euros al año).
Entonces, ¿a quién se aplica el GDPR?
Los “controladores” y los “procesadores” de datos deben atenerse al GDPR. Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.
Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.
Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.
¿Qué son datos personales bajo el GDPR?
La UE ha ampliado sustancialmente la definición de datos personales en el marco del GDPR. Para reflejar los tipos de organizaciones de datos que ahora recopilan sobre personas, los identificadores online, como las direcciones IP, ahora son considerados como datos personales. Otros datos, como la información económica, cultural o de salud mental, también se consideran información de identificación personal.
Los datos personales pseudónimos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificar cuáles son los datos.
Cualquier cosa que era considerada como datos personales bajo la Ley de Protección de Datos también califica como datos personales bajo el GDPR.
2. ¿Cómo prepararse para su cumplimiento?
La introducción de GDPR está configurada para llevar la protección de datos a la parte superior de las listas de prioridades de las empresas. Entonces, ¿cómo pueden las empresas asegurarse de que son conformes y qué pasos deben tomar? Veamos seis pasos a continuación.
Entender el marco legal de GDPR
El primer paso para asegurar el cumplimiento es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas, realizando una auditoría de cumplimiento con el marco legal de GDPR.
Parte de esta auditoría de cumplimiento, no importa el tamaño de la compañía, se hace contratando a un técnico de protección de datos para que nos explique las regulaciones y aplicarlas al negocio. Es preferible que esta persona tenga un fondo legal y tecnológico combinado para que entiendan tanto el marco regulatorio como las especificaciones técnicas necesarias para cumplirlo. Como cada organización es única, el camino hacia el cumplimiento de GDPR también será diferente. La dirección correcta de los líderes dentro del negocio necesita ser adaptada a esto.
Crear un registro de datos
Una vez que las empresas tienen una idea más clara de su disposición a cumplir con los requisitos reglamentarios, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos - esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR.
Es esta organización la que juzgará si una empresa ha sido compatible con la determinación de posibles sanciones por incumplimiento. En el caso de que se produzca una violación durante la fase inicial de implementación, la empresa debe poder mostrar a la DPA su progreso hacia el cumplimiento a través de su Registro de Datos.
Si no hubiera ninguna prueba de que la empresa haya iniciado el proceso, la DPA podría imponer una multa entre el 2% y el 4% del volumen de negocios de una empresa, dependiendo de la sensibilidad de los datos que se violen. La naturaleza de los datos, podría hacer que la DPA mueva la multa a la empresa mucho más rápido.
Clasificar los datos
En este paso se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. En primer lugar, las empresas deben encontrar información personal identificable (PII) - información que pueda identificar a alguien directamente o indirectamente - de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.
A continuación, pueden determinar qué datos son más vitales para proteger, sobre la base de su clasificación. Esto también significa saber quién es responsable de controlar y procesar los datos, y asegurarse de que todos los contratos correctos están en su lugar.
Empezar con la prioridad principal
Una vez que los datos han sido identificados, es importante comenzar a evaluar los datos, incluyendo cómo se están produciendo y protegiendo. Con cualquier dato o aplicación, la primera prioridad debe ser proteger la privacidad del usuario. Al mirar la mayoría de los datos privados o aplicaciones, las empresas siempre deben preguntarse si realmente necesitan esa información y por qué. Estos datos son siempre de mayor valor para un hacker y por lo tanto tiene el mayor riesgo de ser violado.
Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción. Es importante recordar al hacer esto, los derechos de los ciudadanos de la UE, incluyendo la portabilidad de datos y la restricción de procesamiento. El "derecho a ser olvidado" es también uno a considerar como parte de GDPR.
Se trata de datos de terceros que se pueden utilizar para identificar a alguien y deben ser eliminado si se solicita. Es vital que estos datos estén correctamente destruidos y no se pueda acceder a ellos.
A partir de aquí, las empresas deben evaluar sus estrategias de protección de datos - cómo exactamente están protegiendo los datos (por ejemplo, con encriptación, tokenization o psuedonymisation). Esto debe centrarse en los datos que se están produciendo, los datos que se han respaldado - ya sea in house o en la nube - y los datos históricos que se pueden utilizar con fines analíticos.
Las empresas deben preguntarse cómo están anonimizando estos datos para proteger la privacidad e identificación de los ciudadanos con los que se relaciona. Siempre se debe de tener en cuenta que los datos deben ser protegidos desde el día en que se recoge, hasta el día en que ya no es necesario y luego deben ser destruidos de la manera correcta.
Evaluar y documentar riesgos y procesos adicionales
Aparte de los datos más sensibles, la siguiente etapa es evaluar y documentar otros riesgos, con el objetivo de averiguar dónde puede ser que el negocio más vulnerable durante otros procesos.
Es vital para las empresas mantener un documento de hoja de ruta para mostrar a la DPA cómo y cuándo van a abordar estos riesgos pendientes. Son estas acciones las que muestran a la DPA que el negocio se está tomando el cumplimiento y la protección de datos seriamente.
Revisar y repetir
El último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.
3. El Master Data Management puede ser tu aliado
La transición hacia el pleno cumplimiento de la legislación no será ni fácil ni barata, pero si las empresas optan por considerar este período de cambio como una inversión en su gestión de datos podrían beneficiarse de este proceso.
Master Data Management (MDM) es la base que puede hacer la transición a GDPR mucho más suave y puede incluso agregar valor de negocio que va mucho más allá del GDPR.
GDPR Y MDM, ¿Cómo están conectados?
Muchas empresas todavía mantienen sus datos de clientes en sistemas aislados a través de múltiples departamentos, regiones y sistemas. El problema con esto, es que con frecuencia eso es causa información duplicada, incompleta o conflictiva, con fuentes que se están actualizando mientras que otras se dejan en silos para estar cada vez más obsoletas.
La base para cumplir con los requisitos del GDPR es que la organización rompa estos silos de datos. En primer lugar, debe asegurarse de que los datos personales que almacena y los procesos sean correctos y actualizados. En segundo lugar, todos los datos asociados deben ser identificados y la empresa debe saber dónde se almacenan los datos, para qué se utilizan y quién tiene acceso a ellos.
Eso es precisamente lo que MDM hace. El MDM del clientes crea una única fuente confiable de datos de clientes. Lo hace combinando tecnología, procesos y servicios para establecer y mantener una representación exacta y completa de cada cliente a través de múltiples canales, líneas de negocio y empresas, típicamente de numerosas fuentes de datos asociados derivados de múltiples sistemas de aplicaciones y bases de datos.
¿Cómo puede el MDM dar soporte a los esfuerzos de GDPR?
Hay muchas situaciones que es probable que encuentres bajo la nueva regulación. Aquí hay unos ejemplos:
- Violacíon de datos. Tendrás que informar de cualquier infracción a la autoridad de supervisión, así como posiblemente informar a las personas afectadas, pero para hacerlo, debes ser capaz de responder a algunas preguntas básicas.
- ¿Quién está exactamente afectado?
- ¿Cómo se ven afectados?
- ¿Cuál es el papel de la empresa?
- ¿Quién tiene actualmente acceso a los datos?
- ¿Qué necesitas hacer para contener la infracción?
- ¿Cómo se puede evitar que vuelva a suceder?
- Individuos que ejerzan sus nuevos derechos de datos. Si cualquier individuo pide ver sus datos, tendrás que suministrarlos en un formato legible. Si cualquier persona solicita que se borren sus datos (aplicando su "derecho a ser olvidado") debes eliminar todos sus datos. Eso significa no sólo cancelar su suscripción de marketing, sino borrar todo, incluidos los metadatos. Si cualquier persona pide que sus datos sean corregidos o completados (aplicando su "derecho a la rectificación"), la organización está obligada a hacerlo de inmediato, al tiempo que se asegura de que no haya versiones obsoletas o duplicados conflictivos del perfil de datos de ese individuo almacenado en otro lugar.
- Gestión de los consentimientos de los individuos. Necesitas tener completamente controlado y estar informado sobre qué persona ha dado su consentimiento a qué. En el caso de los niños menores de 16 años, esto se vuelve aún más urgente y complejo. La administración de los requisitos de consentimiento requiere estrictos flujos de trabajo de datos y reglas de negocio de datos, así como un marco de data governance claro.
- Limitación del almacenamiento de datos. En virtud del GDPR, debe asegurarse de que todos los datos personales se conserven en un formato que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales.
- Envío de documentación a las autoridades. A petición, debes ser capaz de documentar que se cumplen todos los aspectos legales del GDPR. Para hacerlo, se requieren datos bien organizados y de confianza. En el texto del GDPR, se le exige que "aplique las medidas técnicas y organizativas apropiadas" para poder "demostrar que el procesamiento se realiza de conformidad con el presente Reglamento".
El tratamiento de todos estos aspectos de manera efectiva y con el menor riesgo posible se reduce a la calidad de los datos, los procesos de datos y el marco de data governance de la organización. Una plataforma de MDM no debe considerarse una solución completa de GDPR, pero establece las bases básicas para los requisitos de GDPR y al hacerlo, suaviza la transición hacia estas nuevas regulaciones.
MDM puede ser la plataforma desde la cual la organización almacena, administra, recopila y comparte datos personales de confianza, ya sean datos de clientes, prospectos o empleados.
4. Mejores prácticas para cumplimiento de GDPR
Conocer las definiciones de protección de datos
Las principales definiciones de la actual Ley permanecerán generalmente sin cambios en el marco del GDPR. Si tienes una buena comprensión de los conceptos de "datos personales", "datos personales confidenciales", etc., puede transferirlos a su comprensión del GDPR.
Sin embargo, hay algunas advertencias. Por ejemplo, los "datos personales confidenciales" ahora incluyen datos biométricos y genéticos, pero excluyen las condenas penales. Además, los encargados del tratamiento tienen ahora obligaciones legales en el marco del GDPR, y las organizaciones deben entender cuáles son esas responsabilidades y distinguirlas de las obligaciones de los responsables del fichero.
Conocer tu terreno de procesamiento
La base de procesamiento en la que tu negocio actualmente se basa, probablemente será la misma que en el GDPR. El "interés comercial legítimo" sigue estando presente en el GDPR. Pero hay que tener cuidado, sin embargo, para asegurarse de que se está ejecutando adecuadamente, ya que el GDPR pone nuevas y mayores obligaciones.
Por ejemplo, la tramitación con intereses legítimos debe ponderarse en función de los derechos de la persona afectada y las empresas deberán anotar por qué consideran que sus intereses legítimos no son anulados por los intereses de los interesados. El GDPR también aclara que se requiere "consentimiento afirmativo" para que el consentimiento sea válido. En otras palabras, el silencio, las casillas pre-marcadas o la inactividad ya no pueden interpretarse como consentimiento. Las autoridades de protección de datos tendrán una mala imagen de las empresas que procesan ostensiblemente el consentimiento.
Conocer nuestras actividades de alto riesgo
Según los términos del GDPR, las organizaciones deben adoptar un enfoque basado en el riesgo para las actividades de procesamiento de datos. En relación con la seguridad, existe la obligación de llevar a cabo una evaluación de impacto sobre la privacidad para determinar el nivel de riesgo de una determinada actividad. En términos prácticos, esto generalmente significa que una empresa necesita evaluar todas sus actividades para identificar aquellas que son de alto riesgo: un ejercicio potencialmente largo.
Saber cuándo notificar una infracción
Si estás procesando datos dentro de la UE y se produce una violación de datos que podría resultar en daño para los interesados, la organización está legalmente obligada a notificarlo a la Autoridad de Protección de Datos local. Sin embargo, no todas las infracciones requieren notificación, y el plazo (72 horas) podría ser muy difícil de lograr. Es necesario revisar los procedimientos de gestión de infracciones para estar seguro.
Conocer los derechos que los afectados
Todos los derechos actuales de los afectados permanecerán en su lugar, y la mayoría se están expandiendo. Para administrar estos derechos, debes concentrarte en proporcionar avisos de procesamiento correctos y detallados, racionalizar las solicitudes de acceso de los afectados, garantizar procedimientos eficientes para administrar solicitudes de "rectificación y borrado", así como restricciones de procesamiento cuando un sujeto ha planteado un requerimiento de rectificación que no se ha resuelto.
Conocer nuestro perfilado
El perfilado es una forma de toma de decisiones automatizada que se basa en datos personales. Los afectados no tienen el derecho de evitar ser perfilados, pero sí tienen el derecho de no ser sometidos a una decisión basada en perfiles puramente automatizados.
Hay numerosas pautas sobre el perfil de los datos guardados. Entre ellos están la necesidad de:
- Notificar al afectado en el momento en que se recopilan los datos, que se va a producir un perfilado, la lógica de la elaboración de esos perfiles y las consecuencias previstas del perfilado.
- Responder a los afectados interesados en saber si se han perfilado y las consecuencias.
- Hacer revisar la decisión automatizada, por un ser humano si así lo solicita el interesado.
Conocer las transferencias internacionales de datos
Las empresas con filiales dentro y fuera de la UE deben tomar nota de la inclusión de Binding Corporate Rules (BCRs) en el GDPR. Un mecanismo para las transferencias dentro de la empresa en todo el mundo. Teniendo en cuenta las actuales amenazas a otros mecanismos como las cláusulas contractuales estándar y el Escudo de Privacidad, los BCRs serán una opción atractiva para muchas compañías después de mayo de 2018.
NUESTRO CONTENIDO GRATUITO
Subscríbete a nuestro blog y recibe las últimas actualizaciones sobre gestión de datos.
Descubre contenido nuevo todos los días para profundizar la transformación digital en tu organización.