GDPR

From FdIwiki ELP
Jump to: navigation, search

El Reglamento General de Protección de Datos (GDPR) es la ley sustituta a nivel europeo de la LOPD para fortalecer y unificar la protección de datos de los ciudadanos de la Unión Europea, que fue aprobada el 27 de abril de 2016, entró en vigor el 25 de mayo de 2016 y se hará efectiva 2 años después, el 25 mayo de 2018 , garantizando su cumplimiento mediante sanciones administrativas a las empresas que no la apliquen. Su principal objetivo es devolver a los ciudadanos el control de sus datos personales y simplificar el marco regulador para las multinacionales, unificándolo a nivel europeo.

Esta ley va dirigida a empresas que manejan datos de ciudadanos de la Unión Europea (UE), sean éstas empresas de la UE o de fuera. Supone un gran reto para los equipos de seguridad de estas empresas ya que, por ejemplo, la GDPR tiene un punto de vista muy amplio a la hora de especificar las características que identifican la información de identificación personal. Estas empresas necesitarán tener el mismo nivel de protección que tienen para IPs individuales y cookies que para nombres, direcciones, etc.

En esta ley se deja mucho a la libre interpretación. Dice que las empresas deben proporcionar un nivel de seguridad razonable, pero no especifica lo que significa razonable.

Pilares de la ley GDPR

Los principales pilares de GDPR son:

  • Privacidad por defecto: las empresas deben recoger y procesar solamente los datos estrictamente necesarios y el tiempo de retención debe ser el estrictamente necesario. Además, el servicio o producto que ofrezcan debe ser por defecto con las características más altas de privacidad establecidas de inicio, siendo el usuario el encargado de disminuir la privacidad si lo desea.
  • Privacidad por diseño: las empresas deben preveer desde el diseño, con evaluaciones de impacto en privacidad, los posible riesgos en seguridad, tanto legales como de seguridad del dato, y establecer controles a implantar. Las evaluaciones de impacto en privacidad deben ser integrales, detalladas, acreditables y documentadas.

Novedades con respecto a la LOPD

  • Derecho al olvido: cualquiera tiene derecho a solicitar una supresión de datos personales relacionados con él.
  • Derecho a la portabilidad: una persona debe poder transferir sus datos personales desde un sistema de procesamiento electrónico a otro, sin que el controlador de datos lo impida.
  • Sistema de ventanilla única.
  • Obligación de implantar medidas adecuadas para demostrar el cumplimiento de la ley: las empresas no solo deben cumplir la ley GDPR, sino que también deben demostrar que lo hacen.
  • Obligación de notificar las violaciones de seguridad.
  • Registro de tratamientos.
  • Multa máxima de 20 millones de euros o un 4% de la facturación global de la empresa: el máximo por la LOPD son 600000 euros.

Empresas a las que afecta la GDPR

Cualquier compañía que almacene datos sobre ciudadanos de la UE en estados de la UE tienen que cumplir la GDPR, aunque no tengan presencia en la UE.

Los criterios específicos son:

  • Presencia en un país de la Unión Europea.
  • Sin presencia en la Unión Europea.
  • Más de 250 empleados.
  • Menos de 250 empleados pero los datos o su procesamiento afecta los derechos o libertades de los usuarios.

Responsable de su cumplimiento

Esta ley define varios roles o perfiles en las empresas: Controlador de Datos, Procesador de Datos y Oficial de Protección de Datos (DPO).

  • Controlador de Datos: Define la manera en la que se procesan datos de carácter personal.
  • Procesador de Datos: Son los grupos internos que mantienen y procesan datos personales o cualquier tercero que realiza alguna de estas actividades.
  • Oficial de Protección de Datos: La GDPR obliga a los dos roles anteriores a seleccionar un DPO para supervisar la estrategia de seguridad de datos.