La histórica regulación cambió la mentalidad de todos acerca de cómo las empresas de todo el mundo recopilan y utilizan los datos personales de los ciudadanos de la Unión Europea
¿Qué es GDPR?
El GDPR (General Data Protection Regulation) busca crear un marco de ley de protección de datos armonizado en toda la Unión Europea y tiene como objetivo devolver a los ciudadanos el control de sus datos personales, al tiempo que impone reglas estrictas sobre aquellos que alojan y procesan estos datos, en cualquier lugar del mundo. El Reglamento también introduce normas relativas a la libre circulación de datos personales dentro y fuera de la Unión Europea.
En nuestro país estas regulaciones aún se ven lejanas, no obstante, este marco de trabajo tiene un conjunto de buenas prácticas qué podemos aplicar en toda compañía y en distintos niveles.
Principales Cambios
Antes de la GDPR, nadie sabía realmente qué tipo de datos de los consumidores recolectaban y procesaban las empresas.
1. El GDPR aplica para un amplio abanico de datos recopilados:
Información básica de identidad: nombre, dirección y número de identificación, creencias religiosas, afiliación política, origen racial o étnico, orientación sexual.
Datos de salud: condiciones de salud, análisis de sangre, vacunas contra la COVID-19, etc.
Comunicaciones: geolocalización, direcciones IP, historial web, llamadas telefónicas y textos.
Otros datos como la información bancaria, datos de compras y uso de aplicaciones.
2. Las empresas deben respetar los ocho derechos de los ciudadanos:
El derecho a ser informado de que sus datos están siendo recopilados y utilizados, durante cuánto tiempo y cómo se compartirán. Esta información debe proporcionarse en un lenguaje sencillo y accesible.
El derecho a poder acceder a todos los datos recopilados por una empresa, así como la razón por la que se recopilan los datos o de qué fuente se adquirieron.
El derecho de rectificación en caso de que algún dato sea incompleto o erróneo.
El derecho al olvido se puede solicitar si en cualquier momento alguien retira el consentimiento otorgado a una empresa para conservar esos datos si los datos ya no son necesarios o si fueron tratados ilícitamente.
Derecho a restringir o limitar el tratamiento como alternativa a la supresión de los datos. Los usuarios pueden simplemente solicitar que sus datos no se utilicen para algunos fines. Por ejemplo, uno puede dar su consentimiento para usar datos para la personalización de contenido dentro de una plataforma de streaming, pero no en campañas de marketing.
El derecho a oponerse al procesamiento de más datos.
El derecho a la portabilidad de los datos. Si el usuario quiere acceder a sus datos recopilados por una empresa y entregárselos a otra empresa, la conclusión es: sus datos son suyos. Puedes llevarlos a donde quieras.
Derecho a no ser objeto de elaboración de perfiles en base a un conjunto de datos con características que puedan definir comportamientos, creencias u otra información.
3. Tiene un impacto global
GDPR es aplicable a todas las empresas que ofrecen bienes o servicios en la UE o que procesan los datos de cualquier ciudadano de la UE. Del mismo modo, los datos de los ciudadanos de la UE solo pueden exportarse a (y ser utilizados por) países con normas de privacidad similares.
Este requisito obligó a las empresas a tener planes proactivos para abordar las violaciones de datos, una postura que va en el sentido opuesto a la tentación de tardar demasiado en hacerlo para tratar de evitar una crisis de relaciones públicas. En un momento en que las filtraciones de datos son comunes, los ciudadanos deben saber que sus datos pueden verse comprometidos para que puedan tomar medidas preventivas.
4. El Derecho a informar Filtración de datos
Una de las mayores novedades introducidas por el GDPR fue la obligación de las empresas de informar de una filtración de datos en un plazo de máximo tres días desde que se dieron cuenta del incidente. En comparación, hasta ahora, el plazo más estricto que establecen las regulaciones de Estados Unidos para denunciar infracciones era de 30 días.
5. La no aplicación de las regulaciones conlleva a graves multas
La GDPR está siendo aplicando y, al 23 de mayo de 2022, las infracciones han dado lugar a 1093 multas por un valor total de más de 1000 millones de euros.
¿Qué es un DPO?
El Oficial de Protección de Datos o DPO (Data Protection Officer) es un nuevo actor dentro de la seguridad de la información y tiene la responsabilidad de que se cumplan las leyes relacionadas a, como dice su cargo, la protección de los datos de cualquier compañía que trabaje con datos confidenciales, como por ejemplo: “Datos Personales de Clientes Finales”. Es un cargo que puede formar parte de la planta de la empresa, pero también puede ser externo (vDPO), pues existen empresas que realizan dicho servicio, y ya que lo más importante tiene que ver con sus conocimientos especializados al respecto.
Las principales funciones del DPO
La principal función del vDPO tiene relación con el cumplimiento de la protección de los datos de la empresa, a través de políticas, procesos, flujos de trabajo y/ o tecnologías que ayuden a automatizar dichas tareas.
El vDPO debe ayudar a que se cumplan las políticas GDPR y todas sus normativas. En ese sentido, la asignación de responsabilidades, preparación de los colaboradores y generar un cambio de conciencia también es parte de sus funciones.
Asesorar a la compañía con respecto a la evaluación del impacto que puede tener la protección de datos y su buen cumplimiento es parte de la evangelización que debe realizar un vDPO.