Por qué necesitas empezar a tomarte en serio la protección de la información y cómo puede ayudarte ESET

DESCARGAR GUÍA GRATUITA
¿Qué es la GDPR?

¿Cumples la directiva GDPR?

En mayo de 2018 entrará en vigor una nueva regulación para la protección de datos en toda la unión europea.

Si te afecta, necesitas empezar ya a pensar en su cumplimiento. Esta página está diseñada para ayudarte a entender la GDPR, cuantificar los requisitos y ofrecer soluciones. La Regulación general de protección de la información (GDPR) afectará a todas las empresas de Europa que manejen información personal de cualquier tipo. También afectará a cualquier empresa que realice negocios en la UE. Las reglas son complejas y las multas por su no cumplimiento son importantes (hasta 20 millones de euros).

¡Pero estás en el sitio adecuado para obtener más información!

calendar due date GDPR

Consigue nuestra guía GDPR gratuita

ESET y sus asesores legales han creado esta guía detallada para examinar cómo te afectará esta nueva regulación europea.

guide general data protection regulation

>Revisa el cumplimiento online

¿Tu empresa cumple con la regulación?

Cumplir la regulación GDPR, paso a paso

Las implicaciones de la GDPR son complejas, por lo que hemos dividido el proceso de cumplimiento en tres grupos de medidas que deberías considerar, subdivididas en varias áreas con una explicación más detallada. Pulsa en las barras del diagrama inferior para examinar estas áreas según tus necesidades.

+En resumen

Algunos de los principios que se establecen en la GDPR son una continuación de los establecidos en la Directiva de protección de datos existente, concretamente: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

La GDPR establece un nuevo principio de responsabilidad creando controladores de la información responsables de demostrar el cumplimiento de estos principios. Asímismo, la GDPR añade nuevos aspectos a los principios de protección de la información ya existentes, concretamente

Legalidad, justicia y transparencia – La información personal debe ser procesada ahora de forma transparente en función del tipo de información.

Limitación de propósitos – Con algunas salvedades, la archivación de la información personal de interés público no se considerará incompatible con los propósitos de procesamiento originales.

Almacenamiento – La información personal debe estar guardada en una forma que permita la identificación de los sujetos de la información durante no más tiempo del necesario para los propósitos para los que se procesa la información personal.

Responsabilidad – El controlador de la información se convierte en el responsable, y debe ser capaz de demostrar el cumplimiento de los principios.

+Requisitos de la estructura organizativa

Bajo la GDPR, debes implementar un amplio rango de medidas para garantizar que reduces el riesgo de incumplimiento de la GDPR y para que te permita demostrar que te tomas la gestión de la información seriamente. Entre las medidas de responsabilidad necesarias se encuentran: Evaluaciones del impacto de la privacidad, auditorías, revisiones de las políticas, registros de actividad y (potencialmente) nombrar a un responsable de protección de la información (DPO).

La GDPR introduce la obligación de que ciertas organizaciones designen un Responsable de protección de la información (DPO). Estas organizaciones deben designar a un empleado o consultor externo como su DPO.

Si eres un comerciante con una gran base de datos de clientes, probablemente necesitarás designar un DPO; se espera que las autoridades nacionales de protección de datos proporcionen consejo sobre quién cumple los requisitos.

Tu DPO será responsable de monitorizar el cumplimiento de la GDPR, informándote de tus obligaciones, informando sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad y ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

El concepto de punto centralizado permite a una empresa establecida en varios países de la UE tratar solo con una autoridad nacional de protección de datos , aunque las reglas para determinar qué DPA debería adoptar este papel, y cómo deberían gestionar las quejas, son complejas en algunos casos.

+Procesos, procedimientos y políticas

La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.

Esta es una definición más amplia que la anterior y no toma en consideración si la violación crea algún daño al individuo. Si sufres una violación de la seguridad de la información, debes informar a la autoridad nacional de protección de datos inmediatamente, o antes de 72 horas después de descubrir la violación de datos.

Sin embargo, estás exento de notificar a las personas si has tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

Una parte importante del cumplimiento de la GDPR es la privacidad por diseño, esto es diseñar cada nuevo proceso o producto con los requisitos de privacidad como aspecto central. Este enfoque, que anteriormente consistía en una buena práctica, es ahora un requisito explícito.

La evaluación del impacto de protección de datos, también conocida como evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento.

La GDPR convierte los PIAs en un requisito formal; específicamente los controladores deben garantizar que se ha ejecutado un PIA, antes de su inicio, en cualquier actividad de procesamiento de "alto riesgo".

Si operas a nivel internacional, tus reglas y procesos para transferir datos a jurisdicciones externas a la UE tendrán una consideración relevante, puesto que las penas por la no adecuación o la transferencia de datos a jurisdicciones no reconocidas (por la Comisión europea) por tener una regulación de protección de datos adecuada pasarán a ser mucho más rigurosas después de la entrada en vigor de la GDPR.

+Conocimiento de la seguridad de la información

Ahora es el momento de empezar a explicar la necesidad del cumplimiento de GDPR a tus propios empleados. Tal vez necesites empezar a planificar procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia de la GDPR. Esto podría tener consecuencias importantes a nivel financiero, técnico y de formación.

+Responsabilidad - medidas técnicas

La GDPR hace que los controladores sean responsables de demostrar el cumplimiento con sus principios de protección de datos, por lo que necesitarás asegurarte de que tienes políticas claras implantadas para demostrar que cumples los estándares necesarios monitorizando, revisando y evaluando con regularidad tus procedimientos de procesamiento de información, construyéndolos en garantías y garantizando que tus empleados están formados para entender sus obligaciones. Debes ser capaz de demostrar esto en todo momento, cuando lo solicite la autoridad nacional de protección de datos.

+Violación de información – medidas técnicas

Debes prepararte para una eventual violación de información (definidas como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”) implementando políticas claras y procedimientos demostrados con el fin de garantizar que puedes reaccionar y notificar cualquier violación de información cuando sea necesario.

La no notificación de una violación de información cuando es necesaria podría traer como consecuencias una multa, así como una multa por la violación de información en sí misma.

+Garantizar los derechos del sujeto de la información - técnicamente

La GDPR refuerza los derechos de los sujetos de la información, por ejemplo añadiendo el derecho a solicitar información sobre los datos que están siendo procesados de sí mismos, el acceso a los datos en ciertas circunstancias, y la rectificación de la información errónea.

Uno de los objetivos principales de la GDPR es reforzar los derechos de los individuos. Como consecuencia, las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y necesitarás actualizar tus procedimientos para reflejar esto.

En la mayoría de casos no podrás cobrar por atender una solicitud y normalmente tendrás solo un mes para satisfacerla, en vez de los actuales 30 días.

El derecho al olvido (‘borrado’ en la terminología de la GDPR) permite a los individuos solicitar a tus controladores de datos borrar sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento.

Las terceras partes con las que compartes los datos de los individuos también están cubiertas por estas reglas.

La GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información a no estar sujetos a decisiones basadas en la evaluación de perfiles.

La GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores.

Existen algunos límites a esta regla, por ejemplo solo se aplica a datos personales procesados por medios automáticos.

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean procesados para fines de marketing directo, incluyendo actividades de análisis de perfiles para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno.

Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

+Comunicar la información de privacidad (consentimiento, avisos de procesamiento justo)

Tal vez necesites revisar cómo buscas, obtienes y guardas el consentimiento; el consentimiento de un sujeto de la información a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean procesados para fines de marketing directo, incluyendo actividades de análisis de perfiles para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno. Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

La GDPR incrementará probablemente el rango de aspectos que debes contar a los sujetos de la información, por ejemplo tu base legal para procesar sus datos, tus periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que estás tratando sus datos; ten en cuenta que la GDPR requiere que esta información sea proporcionada en un lenguaje claro y conciso.

+Seguridad de los datos (integridad y confidencialidad)

La GDPR establece principios de seguridad de los datos parecidos a aquéllos de la directiva actual, entre ellos: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

Debes garantizar que los datos personales sean procesados de forma que garantice su seguridad, incluyendo la protección contra el procesamiento no autorizado o ilegal, y contra su pérdida accidental, destrucción o daño: “La organización y cualquier proveedor de servicios subcontratados implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo".

La regulación sugiere un número de medidas de seguridad que pueden ser utilizadas para lograr la protección de datos, que incluyen: pseudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia continua de sistemas y servicios para procesar datos personales; la capacidad de restaurar la disponibilidad de y el acceso a datos personales en un tiempo razonable en caso de incidencia física o técnica; y un proceso para probar, calificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.

La GDPR especifica el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones. Citando textualmente la regulación:

Artículo 32 – Seguridad del procesamiento

“1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador y el procesador implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”

Artículo 34 – Comunicación de una violación de datos al sujeto de la información

“3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) el controlador ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”

+Documentación de los datos, base legal y auditoría

Deberías documentar qué datos personales guardas, de dónde provienen y con quién los compartes.

Si tienes datos personales incorrectos y los has compartido con otras organizaciones, la GDPR requiere que informes a la otra organización de la incorrección para que puedan corregir sus propios registros. Para ello esto puede requerir una auditoría de información en toda tu empresa o en zonas particulares dentro de ella. Esto también te ayudará a cumplir con el principio de responsabilidad de la GDPR.

Bajo la GDPR, deberías examinar cómo procesas datos personales e identificar la base legal en la que llevas a cabo y documentas estos procesos.

Esto es necesario porque algunos derechos de los individuos serán modificados por la GDPR dependiendo de tu base legal para procesar sus datos personales. Un ejemplo es que los individuos tendrán un derecho más fuerte de tener sus datos borrados donde utilices consentimiento como tu base legal para procesarlos. Sin embargo, el consentimiento es solo una de las diferentes formas de legitimar la actividad de procesamiento y puede que no sea la mejor (como puede deducirse).

La información presentada en esta página web no constituye ninguna opinión legal, y los usuarios no deberían confiar en su precisión a la hora de tomar decisiones financieras o empresariales. ESET no será responsable de los resultados que pudieran producirse de tales acciones. Siempre busca asesoramiento legal independiente.

Asiste a nuestro webinar acerca de la GDPR

Habla con nuestros expertos acerca de cómo afectará la nueva Regulación general de protección de datos a tu empresa. ESET está realizando webinars para explicar incidencias relativas a la GDPR. Estos webinars tienen asistencia gratuita: tan solo inscríbete a continuación y te invitaremos al próximo evento.