Por qué necesitas empezar a tomarte en serio la protección de la información y cómo puede ayudarte ESET

La GDPR introduce la obligación de que ciertas organizaciones designen un Responsable de protección de la información (DPO). Estas organizaciones deben designar a un empleado o consultor externo como su DPO.

Si eres un comerciante con una gran base de datos de clientes, probablemente necesitarás designar un DPO; se espera que las autoridades nacionales de protección de datos proporcionen consejo sobre quién cumple los requisitos.

Tu DPO será responsable de monitorizar el cumplimiento de la GDPR, informándote de tus obligaciones y sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad y ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

El concepto de punto centralizado permite a una empresa establecida en varios países de la UE tratar solo con una autoridad nacional de protección de datos (DPA),  × Según la GDPR, una DPA - autoridad supervisora es "una autoridad pública independiente establecida por un Estado miembro conforme al Artículo 51", el punto centralizado significa que cuando una empresa está establecida en más de un Estado miembro, contará con una autoridad líder, determinada por el lugar de mayor implantación en la UE (pero otras autoridades de supervisión locales que no sean la autoridad líder puede que aún tengan algún papel regulatorio). aunque las reglas para determinar cuál debería adoptar este papel, y cómo deberían gestionar las quejas, son complejas en algunos casos.

La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.

Esta es una definición más amplia que la anterior y no toma en consideración si la violación crea algún daño al individuo. Si sufres una violación de la seguridad de la información, debes informar a la autoridad nacional de protección de datos como máximo 72 horas después de descubrir la violación de datos.

Sin embargo, estás exento de notificar a las personas si has tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

Una parte importante del cumplimiento de la GDPR es la privacidad por diseño, esto es diseñar cada nuevo proceso o producto con los requisitos de privacidad como aspecto central. Este enfoque, que anteriormente consistía en una buena práctica, es ahora un requisito explícito.

La evaluación del impacto de protección de datos, también conocida como evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento.

La GDPR convierte los PIAs en un requisito formal; específicamente los controladores × Un controlador es una persona o entidad que, de forma individual o colectiva, determina los propósitos y medios para procesar datos personales. La GDPR define un controlador como: "la persona física o jurídica, autoridad pública, agencia u otra entidad que, de forma independiente o con otras, determina los propósitos y medios del procesamiento de información personal; donde los propósitos y medios de tal procesamiento son determinados por el sistema jurídico de la Unión o de un Estado miembro, el controlador o los criterios específicos para su nominación pueden ser proporcionados por la ley de la Unión o Estado miembro." deben garantizar que se ha ejecutado un PIA, antes del inicio de cualquier actividad de procesamiento de "alto riesgo".

Si operas a nivel internacional, tus reglas y procesos para transferir datos × La transferencia de datos personales a países fuera del Marco económico europeo o a organizaciones internacionales está sujeto a varias restricciones, que se establecen en el capítulo 5 de la GDPR. Al igual que con la directiva actual, la información no necesita se transportada físicamente para ser transferida por lo que visualizar la información almacenada en otra ubicación se considera transferencia según los objetivos de la GDPR.La GDPR define el procesamiento de información transfronterizo como:
"(a) el procesamiento de información personal que se lleva a cabo en el contexto de las actividades de localizaciones en más de un Estado miembro de un controlador o procesador en la Unión, donde el controlador o procesador está establecido en más de un Estado miembro; (b) el procesamiento de información personal que se lleva a cabo en el contexto de las actividades de una única localización de un controlador o procesador en la Unión pero que afecta sustancialmente o es probable que afecte sustancialmente a sujetos de la información en más de un Estado miembro." a jurisdicciones externas a la UE tendrán una consideración relevante, puesto que las penas por la no adecuación o la transferencia de datos a jurisdicciones no reconocidas (por la Comisión europea) por tener un reglamento de protección de datos adecuada pasarán a ser mucho más rigurosas después de la entrada en vigor de la GDPR.

Ahora es el momento de empezar a explicar la necesidad del cumplimiento de la GDPR a tus propios empleados. Tal vez necesites empezar a planificar procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia de la GDPR. Esto podría tener consecuencias importantes a nivel financiero, técnico y de formación.

Uno de los objetivos principales de la GDPR es reforzar los derechos de los individuos. Como consecuencia, las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y necesitarás actualizar tus procedimientos para reflejar esto.

En la mayoría de casos no podrás cobrar por atender una solicitud y normalmente tendrás un máximo de 40 días para satisfacerla.

El derecho al olvido ("borrado" en la terminología de la GDPR) permite a los individuos solicitar a tus controladores de datos × Un controlador es una persona o entidad que, de forma individual o colectiva, determina los propósitos y medios de procesamiento de la información personal. La GDPR define un controlador como: "la persona física o jurídica, autoridad pública, agencia u otra entidad que, de forma independiente o con otras, determina los propósitos y medios del procesamiento de información personal; donde los propósitos y medios de tal procesamiento son determinados por el sistema jurídico de la Unión o de un Estado miembro, el controlador o los criterios específicos para su nominación pueden ser proporcionados por la ley de la Unión o Estado miembro." borrar sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento.

Las terceras partes con las que compartes los datos de los individuos también están cubiertas por estas reglas.

La GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información a no estar sujetos a decisiones basadas en la evaluación de perfiles.

La GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores.

Existen algunos límites a esta regla, por ejemplo solo se aplica a datos personales procesados por medios automáticos.

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean analizados y procesados para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno.

Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

Tal vez necesites revisar cómo buscas, obtienes y guardas el consentimiento; el consentimiento de un sujeto de la información × La GDPR define el consentimiento de un sujeto de la información como “cualquier indicación específica, informada y no ambigua dada libremente de la voluntad del sujeto de la información por la cual él o ella, mediante declaración o acción afirmativa clara, expresa estar de acuerdo con el procesamiento de información personal relacionada con él/ella”. a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

La GDPR concede especial protección cuando se trata de la gestión de información personal de niños, especialmente en relación a servicios de Internet como redes sociales.

En Internet, se requiere el consentimiento previo de los padres para el uso de los datos personales de cualquier persona menor de 13 años. Los Estados Miembros pueden establecer sus propias reglas para aquellos con edades comprendidas entre 13 y 15 años. Si eligen no hacerlo, se requiere consentimiento de los padres para los menores de 16 años.

Como resultado, deberías empezar a pensar cómo implementar sistemas robustos para comprobar la edad de los individuos y para recopilar el consentimiento de los padres o tutores para procesar esa información.

El consentimiento debe ser verificable, y cuando se recopila la información de los menores el aviso de privacidad debe estar redactado en un lenguaje que ellos puedan entender.

La GDPR incrementará probablemente el rango de aspectos que debes contar a los sujetos de la información, × Un sujeto de la información es una persona natural, que puede ser identificada o es identificable de forma directa o indirecta.La GDPR define a un sujeto de la información como "una persona natural identificable que puede ser identificada, de forma directa o indirecta, especialmente por referencia a un identificador como un nombre, número de identificación, fecha de localización, un identificador online o con referencia a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural, o social de esa persona natural". por ejemplo tu base legal para procesar sus datos, tus periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que estás tratando sus datos; ten en cuenta que la GDPR requiere que esta información sea proporcionada en un lenguaje claro y conciso.

La GDPR especifica el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones. Citando textualmente el reglamento:

Artículo 32 – Seguridad del procesamiento

“1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador × Un controlador es una persona o entidad que, de forma individual o colectiva, determina los propósitos y medios de procesamiento de la información personal. La GDPR define un controlador como: "la persona física o jurídica, autoridad pública, agencia u otra entidad que, de forma independiente o con otras, determina los propósitos y medios del procesamiento de información personal; donde los propósitos y medios de tal procesamiento son determinados por el sistema jurídico de la Unión o de un Estado miembro, el controlador o los criterios específicos para su nominación pueden ser proporcionados por la ley de la Unión o Estado miembro" y el procesador × Un procesador de datos es una entidad que procesa datos en nombre de un controlador de datos.
La GDPR define un procesador como "una persona física o jurídica, autoridad pública, agencia u otra entidad que procesa datos personales en nombre del controlador". Un controlador es una persona o entidad que, de forma individual o colectiva, determina los propósitos y medios de procesamiento de la información personal. implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”

Artículo 34 – Comunicación de una violación de datos al sujeto de la información

“3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) el controlador × Un controlador es una persona o entidad que, de forma individual o colectiva, determina los propósitos y medios de procesamiento de la información personal. La GDPR define un controlador como: "la persona física o jurídica, autoridad pública, agencia u otra entidad que, de forma independiente o con otras, determina los propósitos y medios del procesamiento de información personal; donde los propósitos y medios de tal procesamiento son determinados por el sistema jurídico de la Unión o de un Estado miembro, el controlador o los criterios específicos para su nominación pueden ser proporcionados por la ley de la Unión o Estado miembro." ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”

Deberías documentar qué datos personales guardas, de dónde provienen y con quién los compartes.

Si tienes datos personales incorrectos y los has compartido con otras organizaciones, la GDPR requiere que informes a la otra organización de la incorrección para que puedan corregir sus propios registros. Para ello esto puede requerir una auditoría de información en toda tu empresa o en zonas particulares dentro de ella. Esto también te ayudará a cumplir con el principio de responsabilidad de la GDPR.

Bajo la GDPR, deberías examinar cómo procesas datos personales e identificar la base legal en la que llevas a cabo y documentas estos procesos.

Esto es necesario porque algunos derechos de los individuos serán modificados por la GDPR dependiendo de tu base legal para procesar sus datos personales. Un ejemplo es que los individuos tendrán un derecho más fuerte a eliminar sus datos donde utilices consentimiento como tu base legal para procesarlos. Sin embargo, el consentimiento es solo una de las diferentes formas de legitimar la actividad de procesamiento y puede que no sea la mejor (como puede deducirse).