Cumplimiento de GDPR: ¿Quién protege sus datos?
¿Qué es GDPR?
El Reglamento General de Protección de Datos, también conocido como GDPR, es la legislación que incluye los derechos de los ciudadanos en materia de protección de datos dentro de la Unión Europea, que está vigente desde mayo de 2016 y obligatoria desde mayo de 2018. (Burgess, 2020)
La información que este reglamento busca proteger la privacidad de la siguiente información (Davis, 2022):
- Información básica de identificación: nombre, dirección y números de identificación
- Datos web: ubicación, dirección IP, datos de cookies y etiquetas RFID
- Datos genéticos y de salud
- Información biométrica
- Datos raciales o étnicos
- Opiniones políticas
- Orientación sexual
Legislación
El GDPR se aplica al procesamiento de datos personales de personas ubicadas en la Unión Europea (UE), independientemente de la ubicación y tamaño de la organización. Esto significa que incluso las organizaciones que no están ubicadas en la UE deben cumplir con el GDPR si procesan los datos personales de ciudadanos de la UE, y se aplica a cualquier organización que procese datos personales de individuos de la UE, esto se conoce como “alcance extraterritorial”. (OneTrust, 2021) (ShareThis, 2021) (Intersoft Consulting, sin fecha):
El ámbito territorial se rige por el artículo 3o. del reglamento. El artículo 3 (1) establece que el GDPR se aplica al tratamiento de datos personales por un controlador o procesador “establecido” en la UE. El artículo 3, apartado 2, establece que el GDPR también se aplica al tratamiento de datos personales de personas ubicadas en la UE por un controlador o procesador no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con:
A continuación, se muestran algunos ejemplos de organizaciones que probablemente estén sujetas al GDPR:
- Una organización establecida en la UE y que procesa datos personales de personas físicas ubicadas en la UE.
- Una organización que no está establecida en la UE pero que ofrece bienes o servicios a, o supervisa a individuos ubicados en la UE.
- Una organización que no está establecida en la UE pero que tiene un sitio web o una aplicación a la que acceden individuos ubicados en la UE.
Existen algunas excepciones a la aplicación del GDPR a las pequeñas y medianas empresas (pymes). Por ejemplo, las pymes no están obligadas a tener un delegado de protección de datos (DPO) si no procesan los datos personales de un gran número de personas. Sin embargo, las pymes siguen obligadas a cumplir con otros requisitos del GDPR, como los requisitos para obtener el consentimiento de las personas y para proporcionar a las personas acceso a sus datos personales.
Objetivos
El objetivo principal de la Ley de Protección de Datos y del Reglamento implementado es mejorar el nivel de protección de datos de las personas físicas. Para ello, el planteamiento es (Grupo Atico 34, 2023):
- Mejor informar lo que sucede con los datos personales una vez que se comparten.
- Facilitar la comprensión de las políticas de privacidad a través de un lenguaje claro y sencillo.
- Mejorar el acceso a los derechos incluidos en la normatividad, especialmente en el caso de los menores de edad.
- Salvaguardar el tratamiento realizado con fines de archivo por investigación o interés estadístico.
Derechos
Esta regulación se basa en ocho derechos principales de los usuarios que ayudan a proteger la privacidad y los datos personales. Las empresas deben garantizarlas, de lo contrario, podrían enfrentar severas sanciones (Davis, 2022):
- Derecho de acceso.
- Derecho a la información.
- Derecho a la portabilidad.
- Derecho al borrado (a ser olvidado).
- Derecho de rectificación.
- Derecho a retirar el consentimiento.
- Derecho a objetar.
- Derecho a oponerse al tratamiento automático.
Obligaciones
Esencialmente, cualquier empresa que desee tratar datos personales y que forme parte de la jurisdicción del reglamento debe tomar en cuenta los siguientes puntos además de garantizar que los datos personales sean utilizados de manera lícita, justa y transparente y con base en una finalidad específica que se haya definido previamente (Grupo Atico 34, 2023)
- Consentimiento, éste debe otorgarse de manera clara y no implícita, para un propósito específico.
- Deber de información, esto para que el usuario tome en cuenta lo que se va a hacer y quién estará detrás de sus datos personales.
- Oficial de Protección de Datos
- Registro de actividad, que incluye qué tipo de datos se procesan, cómo y dónde se utilizan, dónde se almacenan y si hay transferencia a terceros.
- Análisis de riesgos, como su nombre lo indica, además de analizar los riesgos existentes, se necesita un plan sobre cómo evitar que ocurran.
- Notificación de brechas de seguridad, las cuales deben ser dentro de un máximo de 72 horas.
- La evaluación de impacto, al igual que el análisis de riesgos, básicamente indica qué riesgos se detectaron y el plan de acción para remediarlos.
- La privacidad por diseño, es decir, toma en cuenta, antes de recabar datos personales, la finalidad de ello y las medidas que se tomarán para protegerlos.
Roles
Para entender un poco más sobre esta regulación, es necesario saber quién participa en ella y qué papel juegan. Las siguientes funciones que se presentan son aquellas responsabilidades clave de la regulación (OneTrust, 2021):
- Controlador - es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales (usuario).
- Procesador: una persona física o jurídica que procesa datos personales en nombre del controlador (tercero).
- Oficial de protección de datos (DPO) — esta es una función requerida por el RPGD, es responsable del cumplimiento del GDPR.
- Autoridad de Control — es una autoridad en un país de la Unión Europea, esto ayuda a asesorar a las empresas sobre cómo cumplir con el GDPR y realiza auditorías, así como atiende quejas y emite multas cuando es necesario.
Sanciones
Para aquellas empresas que no se apegan a los derechos y obligaciones que determina el reglamento, también indica el tipo de infracción y a qué artículo del reglamento pertenece, y en base a ello se estipula la multa.
Por infracciones graves: multa de hasta diez millones de euros (o 2% de la facturación anual, la que sea mayor). (Grupo Atico 34, 2023)
Por infracciones profundamente graves: multa de hasta veinte millones de euros (o 4% de la facturación anual, la que sea mayor). (Grupo Atico 34, 2023)
Conclusión
El GDPR puede ser comentado desde diferentes perspectivas. Desde la perspectiva del usuario o cliente, GDPR proporciona mayor seguridad y confianza al saber cuál es el objetivo de utilizar sus datos. Esto se debe a que el GDPR requiere que las organizaciones sean transparentes sobre cómo recopilan y usan los datos personales, y que obtengan el consentimiento de las personas antes de que puedan procesar sus datos personales. Esto brinda a las personas más control sobre sus datos personales y ayuda a protegerlas del robo de identidad al requerir que las organizaciones tomen medidas para proteger los datos personales. Estos pasos incluyen el uso de contraseñas seguras, el cifrado de datos personales y la limitación del acceso a los datos personales al personal autorizado.
Ahora bien, aunque desde la perspectiva de las empresas que tienen la obligación de apegarse a esta regulación, puede resultar algo tedioso designar recursos para el cumplimiento de la misma, sin embargo, a su vez, agrega una capa de seguridad a los sistemas que utiliza la empresa, ya que al cubrir la necesidad de proteger la información personal, aseguran que solo el personal autorizado tenga acceso a la información confidencial, que de otro modo estaría expuesta y con ella, los sistemas a los que tiene acceso. Además de ser imprescindible para evitar ser severamente castigado.
Con esto dicho, se debe enfatizar que este requisito adicional de seguridad agrega mayor valor agregado en cuanto a la calidad de los servicios prestados, ya que existe una mayor transparencia en sus operaciones involucrando identidades individuales.
Referencias
Burgess, M. (marzo de 2020). ¿Qué es GDPR? La guía resumida sobre el cumplimiento del RGPD en el Reino Unido. Recuperado de WIRED: https://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
Davis, M. (Julio de 2022). Regulaciones de cumplimiento de GDPR: las 12 mayores necesidades. Obtenido de OSANO: https://www.osano.com/articles/gdpr-compliance-regulations
Atico Grupo 34. (febrero 2023). Obligaciones LOPD y RGPD de las empresas. Obtenido de Protección de Datos - LOPD: https://protecciondatos-lopd.com/empresas/obligaciones-lopd-rgpd/
Atico Grupo 34. (enero 2023). RGPD (Reglamento general de protección de datos): Guía 2023. Obtenido de Protección de Datos - LOPD: https://protecciondatos-lopd.com/empresas/rgpd-reglamento-general-proteccion-datos/#Objetivos_del_RGPD
Consultoría Intersoft. (n.d.). Reglamento General de Protección de Datos. GDPR. Obtenido de https://gdpr-info.eu/: https://gdpr-info.eu/
Un Fideicomiso. (Abril 2021). Guía completa para el cumplimiento del Reglamento General de Protección de Datos (GDPR). Recuperado de OneTrust: https://www.onetrust.com/blog/gdpr-compliance/
ShareThis. (2021, mayo). El GDPR para las pequeñas empresas: lo que las pymes necesitan saber. Recuperado de ShareThis: https://sharethis.com/es/website-tips/privacy/2021/05/gdpr-for-small-businesses/