Lo que tu negocio debe saber sobre el GDPR

Dentro de 12 meses, a las empresas que realicen negocios en la Unión Europea se les solicitará que cumplan con unas nuevas normas sobre privacidad de datos llamada Reglamento General de Protección de Datos.

La cantidad de fugas de información personal que han sufrido las empresas que la guardan o la procesan ha ido creciendo a una tasa alarmante en los últimos años. La brecha récord de Yahoo de 2016 (se estima que se robaron 500 millones de registros) parecía difícil de superar, pero fue alcanzada en otro incidente ese mismo año. Un spammer llamado River City Media filtró, entre otros detalles, 1.370 millones de direcciones de correo electrónico (una cifra impactante).

Con cientos de millones de personas afectadas por una simple brecha, y con la seguridad de la información personal como tema candente en muchos países del mundo, los problemas de la privacidad y seguridad de la información claramente han llamado la atención de los políticos.

Los gobiernos empiezan a tomar cartas en el asunto. Por ejemplo, dentro de doce meses, las empresas que hagan negocios en la Unión Europea deberán cumplir con una serie de reglas sobre la privacidad de la información por la entrada en vigor del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). El GDPR está diseñado para unificar las normas sobre la privacidad de la información en Europa y expone el cumplimiento de obligaciones para el traslado de información entre la Unión Europea y entre los estados miembros de la UE y sus socios globales. Básicamente se trata de mejorar el manejo y almacenamiento de información personal para mantenerla a salvo de un mal uso.

A continuación, un resumen sobre la iniciativa.

¿Qué es el GDPR?

En primer lugar, el GDPR mejora la vaga definición de información personal según la Directiva Europea de Protección de Datos (“cualquier información relativa a una persona física viva, identificada o identificable”) y añade más contexto. Según los cambios que entrarán en vigor el año que viene, información como las direcciones IP, la información mental, cultural, económica o social serán consideradas personales. También están incluidos los nombres de usuario y los pseudónimos (en muchos casos, se atribuyen a un individuo particular de una organización). Los nombres, teléfonos y direcciones de clientes, además de los registros de proveedores y de personal están cubiertos por esta definición.

En segundo lugar, el GDPR define medidas para incrementar la transparencia del control y gestión de la información. Se necesitará consentimiento estricto por parte de los usuarios y estos podrán revocarlo cuando quieran. Los usuarios ganarán el derecho de solicitar información sobre cómo, dónde y con qué finalidad se procesarán sus datos personales. Los usuarios también podrán solicitar toda su información personal a las organizaciones que la usan y se les garantizará el derecho a solicitar su eliminación de los servidores de las organizaciones.

Finalmente, las empresas deberán estudiar cómo gestionar los procesos de protección y cómo proteger los nuevos sistemas para implementar el principio de “privacidad por diseño”. Es más, las organizaciones cuyas actividades principales incluyan el procesamiento de grandes cantidades de información personal deberán tener a una persona encargada de la protección de datos. Aunque estas medidas son para reducir la probabilidad de una brecha de información, en el caso de que ocurra, las organizaciones estarán obligadas a informar de ella en el plazo de 72 horas a la autoridad competente.

Las empresas que no cumplan con estas regulaciones serán sancionadas severamente (con hasta el 4 % de la facturación global anual o hasta 20 millones de euros). Sí, lo has leído bien, la facturación global anual. Para las empresas globales, aunque no cuenten con presencia física en Europa, las regulaciones cubren toda la información personal que gestionan y controlan sobre los usuarios europeos, sin importar que el procesamiento se realice en Europa o en otro lugar.

En los próximos meses, hablaremos de cómo el GDPR afectará a las diferentes áreas de tu empresa: IT, recursos humanos, ventas y marketing, legal, financiera y contable. ¿Listo? Estamos aquí para guiarte durante el proceso de preparación.

 

Consejos