En mayo de 2018, Europa cambió las reglas de procesamiento de datos personales, establecidas y actualizadas por el Reglamento general de protección de datos (Reglamento de la UE 2016/679 de 27 de abril de 2016 o el GDPR: Reglamento general de protección de datos). Este reglamento, que tiene efecto directo en los 28 países de la UE, sustituyó a la Directiva marco sobre la protección de datos personales 95/46 / CE de 24 de octubre de 1995. Un matiz importante del RGPD es el principio extraterritorial de las nuevas normas europeas para el manejo de datos personales, por lo que deberás prestarles atención si los servicios que presta tu empresa están enfocados al mercado europeo o internacional.
El nuevo reglamento proporciona a los residentes de la UE herramientas para un control total sobre sus datos personales. Desde mayo de 2018, la responsabilidad por la violación de las reglas de procesamiento de datos personales se ha endurecido: según el GDPR, las multas alcanzan los 20 millones de euros, o el 4% de los ingresos globales anuales de la empresa. En este artículo, analizamos las nuevas reglas de procesamiento de datos personales en la UE y formulamos recomendaciones para las empresas sobre cómo responder al GDPR.
¿Quién está cubierto por el GDPR?
El GDPR tiene efecto extraterritorial y se aplica a todas las empresas que procesan datos personales de residentes y ciudadanos de la UE, independientemente de la ubicación de dicha empresa. Por supuesto, las sucursales, oficinas de representación de no residentes en la UE tendrán que cumplir con los nuevos requisitos. Considere otra categoría (no obvia) de temas.
Considere otra categoría (no obvia) de temas en el siguiente ejemplo:
¿Las empresas deben cumplir con todos los requisitos de GDPR? Si.
- servicios / productos adaptados a los idiomas locales de los residentes de la UE;
- los servicios / bienes se pagan en las monedas locales de la UE;
- los servicios / bienes se proporcionan en los dominios de nivel superior nacionales de los países de la UE.
Esto significa que las organizaciones que manejan datos personales de europeos en los Estados Unidos en la implementación de ventas en línea (por ejemplo, Ferrocarriles, aerolíneas, hoteles, hostales y otros), están sujetos al GDPR y deben cumplir con la nueva regulación europea sobre el procesamiento de datos personales. Es importante tener en cuenta que además del procesamiento de datos personales, el GDPR utiliza el concepto de seguimiento del comportamiento de los interesados, por esta razón, otra categoría de sujetos cae bajo el GDPR. El GDPR se aplica a las organizaciones establecidas fuera de la UE si ellas (como controlador o procesador) controlan el comportamiento de los residentes de la UE (en la medida en que dicho comportamiento tenga lugar en la UE).
El seguimiento puede incluir:
- seguimiento de residentes en la UE en Internet;
- usar técnicas de procesamiento de datos para perfilar a las personas, su comportamiento o su relación con algo (por ejemplo, para analizar o predecir preferencias personales).
¿Qué se entiende por datos personales en el GDPR?
Los datos personales son cualquier información relacionada con una persona física identificada o identificable (sujeto de datos) sobre la cual se puede determinar directa o indirectamente. Dicha información incluye, entre otros, el nombre, los datos de ubicación, el identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona. La definición es amplia y deja claro que incluso las direcciones IP también pueden ser datos personales. Es importante tener en cuenta que hay ciertos tipos de datos personales que se incluyen en la categoría especial o confidencial de la información personal. Esta información revela: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas y afiliación a sindicatos. Además, este grupo incluye datos genéticos, biométricos utilizados para identificar a las personas, datos sobre el estado de salud, información sobre la vida sexual u orientación sexual.
6 principios del procesamiento de datos en el GDPR
- Legalidad, equidad y transparencia. Los datos personales deben procesarse de manera legal, justa y transparente. Cualquier información sobre los propósitos, métodos y volúmenes del procesamiento de datos personales debe presentarse de la manera más accesible y simple posible.
- Limitación de propósito. Los datos se recopilarán y utilizarán únicamente para los fines indicados por la empresa (servicio en línea).
- Minimización de datos. Es posible que los datos personales no se recopilen en mayor medida de lo necesario para los fines del procesamiento.
- Precisión. Los datos personales que sean inexactos deben ser eliminados o corregidos (a solicitud del usuario).
- Límite de almacenamiento. Los datos personales deben almacenarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines del procesamiento.
- Integridad y confidencialidad. Al procesar los datos del usuario, las empresas deben proteger los datos personales del procesamiento, la destrucción y el daño no autorizados o ilegales.
Aviso de casos de violación del GDPR
Las empresas deben notificar a los reguladores (y en algunos casos a los interesados) de cualquier violación de datos personales dentro de las 72 horas posteriores al descubrimiento de dicha violación.
En este websitesitio web se encuentra disponible una lista de los reguladores nacionales de datos personales de todos los países de la UE. También hay un regulador paneuropeo, parte de trabajo 29 o grupo de trabajo sobre el artículo 29. Sin embargo, una vez que el GDPR entre en vigor, el grupo de trabajo sobre el artículo 29 reemplazará al nuevo organismo: la Junta Europea de Protección de Datos (EDPB).
Derechos del interesado (individual)
El GDPR amplía significativamente los derechos de los ciudadanos y residentes de la UE para controlar sus datos personales. Los usuarios europeos tienen derecho a solicitar la confirmación del procesamiento de sus datos, el lugar y el propósito del procesamiento, las categorías de datos personales procesados, qué datos personales de terceros se divulgan, el período durante el cual se procesarán los datos, así como así como especificar la fuente de los datos personales recibidos por la organización y exigir su corrección. Además, el usuario tiene derecho a exigir la terminación del tratamiento de sus datos. El RGPD también prevé el derecho al olvido (derecho al borrado, derecho al olvido), que permite a los europeos eliminar sus datos personales cuando así lo soliciten para evitar su difusión o transferencia a terceros.