Header Ads Widget

Ticker

6/recent/ticker-posts

Cumplimiento de las nuevas y estrictas normas de la UE sobre protección de datos


En abril se adoptó un amplio conjunto de normas para proteger los datos de los ciudadanos de los países miembros de la Unión Europea. Conocido como el Reglamento General de Protección de Datos ( GDPR ), el objetivo de la medida es reemplazar el mosaico existente de leyes nacionales con una única regulación moderna que refleje la era digital. Como tal, la nueva directiva puede aplicarse de manera uniforme en toda la UE, lo que debería aliviar la carga administrativa de quienes intentan negociar el actual panorama legal fragmentado.

Esa aplicación uniforme de la medida, que entrará en vigor en mayo de 2018, es un poco inusual, señaló Agnes Andersson Hammarstrand , socia y abogada de TI de Advokatfirman Delphi. "Normalmente estamos acostumbrados a las leyes locales en cada país de la UE, pero ahora tenemos una regulación aplicable directa que es la misma y debe interpretarse de la misma manera en todos los países de la UE" , dijo en la Cumbre de la Plataforma Nórdica API 2016 celebrada en Estocolmo en octubre.

Una gran cantidad de organizaciones que procesan datos personales deberán cumplir con el GDPR, incluidas todas las empresas y autoridades públicas de la UE , así como las empresas que venden productos a ciudadanos de la UE. Las empresas que utilizan API para exponer sus aplicaciones a la web deben tener especial cuidado al determinar quién puede solicitar datos de sus sistemas, cómo se responderán dichas solicitudes y cómo proteger la confidencialidad de esas respuestas con medidas de seguridad como el cifrado.

Agnes Andersson Hammarstrand presenta en la Cumbre de Plataformas Nórdicas API 2016:

Sanciones controvertidas

Un aspecto polémico del GDPR son sus duras sanciones . Las empresas que violen la regulación pueden ser multadas con hasta 20 millones de euros o el cuatro por ciento de las ventas anuales a nivel mundial. "Es bastante, ¿no?" Observó Hammarstrand. Además, las personas pueden presentar demandas civiles contra empresas que violen la nueva ley.

Debido a que las sanciones son tan severas, no se impondrán a la ligera, pero sí enfatizan el punto de que es mejor que las empresas comiencen a implementar proyectos y rutinas para cumplir con el GDPR, así como la documentación de ese cumplimiento . "Si no hace eso, si no tiene ningún proyecto, ninguna rutina, si no hace lo que tiene que hacer, es posible recibir estas multas", dijo Hammarstrand.

¿Qué es "protegido"?

Cualquier información relacionada con una persona física identificada o identificable que pueda usarse para identificar directa o indirectamente a esa persona está cubierta por el reglamento. Dichos datos incluyen:

  • Datos de clientes, historiales de compras, fotografías, correos electrónicos, nombres y números de teléfono;
  • Direcciones IP y números de registro de vehículos de motor;
  • Información B2B y B2C;
  • Información biométrica como huellas dactilares, rostros , impresiones de voz y globos oculares.

Las empresas son responsables de cualquier información personal que recopilen, ya sea que esos datos se encuentren en una base de datos de clientes, una base de datos de empleados o incluso una base de datos de proveedores. Además, los custodios de los datos personales recopilados por una empresa, incluso si solo almacenan los datos y no tienen acceso a ellos, deben cumplir con el GDPR o corren el riesgo de ser multados.

No solo los datos personales en sí están cubiertos por las nuevas reglas, sino también todo lo que se hace con los datos. “Los procesadores [de datos] también tienen una responsabilidad”, dijo Hammarstrand. “Lo nuevo de esta legislación es que tienen una responsabilidad directa . De hecho, podrían ser revisados ​​y multados si no cumplen con la legislación ".

Lea también: Leyes de privacidad e intercambio internacional de datos: comparación de los estándares de la UE y los EE. UU.

Escalera al cumplimiento de GDPR

Hammarstrand describió una serie de pasos que los recolectores de datos deben seguir al evaluar su cumplimiento con el GDPR.

Primero, debes preguntarte si el procesamiento de los datos que estás recopilando es legal. Si no es así, sus posibilidades de cumplir con el GDPR están muertas a su llegada.

Si puede dar ese primer paso, debe determinar si está cumpliendo con todos los principios fundamentales del RGPD. Por ejemplo, uno de esos principios es que los datos deben almacenarse solo el tiempo que sea necesario .

Si bien algunos principios se mantendrán constantes en todas las industrias, otros no. Por ejemplo, si trabaja con datos confidenciales, como datos de salud , debe cumplir con un conjunto especial de reglas para eso.

Cuando esté seguro de que cumple con los principios de manejo de datos de las reglas, puede avanzar a la siguiente serie de pasos para cumplir con el cumplimiento. Incluyen:

  • Formular una política de privacidad para explicarle a quienquiera que esté recopilando datos de lo que está haciendo con sus datos y cómo los va a proteger.
  • Implementar rutinas de seguridad para la portabilidad de datos.
  • Creación de acuerdos y documentación relacionados con los datos que recopila.

Finalmente, lo más importante para las empresas internacionales : existe una prohibición de transferir datos fuera de la UE, a menos que tenga una base legal para hacerlo. "Es posible, por supuesto, transferir datos y procesar datos fuera de la UE, pero debe asegurarse de hacerlo de acuerdo con la regulación", dijo Hammarstrand.

Relacionado: Una guía humana para redactar la política de la plataforma API

Cumplimiento de obligaciones legales

Aunque a primera vista, puede parecer que cualquier cosa que una organización quiera hacer con los datos esté prohibida por el RGPD. Ese no es el caso. "¿Todo es ilegal?" Preguntó Hammarstrand. "Por supuesto no. Muchas de las cosas que quieres hacer son legales ".

Por ejemplo, los datos se pueden procesar para cumplir con obligaciones legales. Tales obligaciones incluyen:

  • Cumplir un contrato del que el sujeto de los datos sea parte.
  • Cumpliendo con una obligación legal.
  • Proteger los intereses vitales del sujeto de los datos.
  • Protección del interés público.
  • Promover intereses legítimos siempre que no prevalezcan sobre los intereses individuales.

Si no puede encontrar una clavija legal para justificar un propósito para el procesamiento de datos, siempre puede buscar el consentimiento informado del sujeto de los datos para hacerlo. Hammarstrand señaló que los recopiladores de datos a menudo malinterpretan la necesidad de un consentimiento informado. "Es un error popular", dijo. "Solo necesita consentimiento cuando no tiene ninguna otra base legal para procesar los datos".

"Es mi recomendación no obtener el consentimiento si no lo necesita", agregó, "porque el consentimiento es algo que siempre se puede retirar".

Principios de minimización

Cualquier tratamiento legal de datos debe ser coherente con los principios de minimización del RGPD:

  • Minimización de Propósito . Los datos no deben procesarse para un propósito distinto al que fueron recopilados.
  • Minimización de datos . Los datos deben ser adecuados, relevantes y limitados a lo necesario para los fines para los que se procesan.
  • Minimización de almacenamiento . Los datos no deben conservarse más tiempo del necesario.

Un recolector de datos también debe cumplir con algunos requisitos generales de seguridad . Por ejemplo, debe tomar medidas técnicas y organizativas para garantizar un nivel adecuado de seguridad para los datos que procesa. Cuáles son esas medidas técnicas y organizativas varían de una industria a otra. Por ejemplo, las organizaciones que recopilan datos de salud pueden necesitar cumplir con estándares de seguridad más altos que los de un negocio minorista.

Hammarstrand asesora a las empresas que compran soluciones de seguridad para cumplir con el RGPD para asegurarse de que cualquier solución considerada satisfaga las necesidades específicas de su negocio. “Hay muchas empresas que quieren venderle diferentes tipos de soluciones”, dijo. “Dicen, 'Tienes que comprar esto para cumplir con la regulación'. No existen tales requisitos. Depende de los requisitos que tenga su empresa ".

Aprenda a proteger su plataforma API: visite la página de Security Insights para obtener más información

Enfoque holístico

Tomar decisiones que sean adecuadas para su empresa es vital al cumplir con los mandatos de diseño de privacidad de GDPR. Sin embargo, en general, las empresas deben pensar en la privacidad cuando diseñan sus sistemas de TI. Lo que eso significa en la práctica es que la alta dirección debe participar en la protección de la privacidad de los datos que su empresa recopila y será necesario presupuestar las medidas de privacidad; Para proteger los datos, será necesario fomentar una cultura de seguridad en toda la empresa.

Hammarstrand instó a las empresas a adoptar una visión holística del cumplimiento del RGPD. Eso significa que el cumplimiento de GDPR no se puede delegar a un silo legal o de TI. Debe ser algo que se extienda por toda la organización y se infunda en su cultura. Por eso es importante incluir personas con una variedad de competencias y antecedentes en el proceso de cumplimiento.

Conclusión: la procrastinación no es una opción

¿Cómo debería prepararse una empresa para el RGPD? Primero, el presupuesto y la planificación deben realizarse con cuidado e inmediatamente. Además, el conocimiento del nuevo régimen debe difundirse en toda la organización.

Se debe realizar una investigación exhaustiva del uso de datos de una organización para determinar si se deben realizar cambios para cumplir con la ley. Se deben establecer responsabilidades, crear instrumentos legales y poner en marcha medidas de TI para cumplir con el RGPD.

Las empresas también deberán evaluar el cumplimiento de sus API existentes . El RGPD podría interrumpir la implementación de API porque es posible que las API existentes deban rediseñarse para cumplir con los requisitos de la nueva regulación. Eso es especialmente cierto en industrias con reglas de cumplimiento más estrictas.

Los requisitos de portabilidad de datos también requieren que se utilicen API para permitir que los propietarios de datos tengan acceso a sus datos. Algunas empresas pueden ver ese requisito como una carga y adoptar un enfoque minimalista para cumplir con esos requisitos. Sin embargo, las empresas inteligentes verán que, si bien necesitan compartir sus datos con otros, otros también tienen que compartirlos con ellos. Irónicamente, este intercambio de datos podría aprovecharse para crear nuevos servicios que no hubieran sido posibles sin el GDPR.

Aunque 2018 puede parecer lejano en el futuro, Hammarstrand enfatizó que el proceso de cumplimiento debe comenzar ahora. "Esto es algo que debe presupuestar por ahora, de lo contrario, será demasiado tarde".

 

Publicar un comentario

0 Comentarios