GDPR significa Reglamento General de Protección de Datos. GDPR es un reglamento de protección de la Unión Europea (UE) que entró en vigor el 25 de mayo de 2018. Se aplica a todas las organizaciones que procesan datos personales de residentes de la UE. Esto significa que las empresas de la UE y del extranjero se ven afectadas. GDPR es la normativa de protección de datos personales más estricta y compleja del mundo.
Tipos de datos
Hay dos tipos de datos: personales y no personales.
- Información personal
Dato personal es cualquier información que pueda conducir directa o indirectamente a una persona física identificada o identificable. El Reglamento General de Protección de Datos utiliza el término "información" en lugar de "datos", ya que los datos tienden a tener un valor informativo. Cualquier tipo de información personal puede vincularse a una persona viva específica.
- Datos no personales
Los datos no personales nunca se vinculan a una persona física identificada o identificable. Esta categoría incluye datos que anteriormente estaban clasificados como personales, aunque se ha eliminado la vinculación con una persona física.
¿Qué es el procesamiento de datos personales?
Se consideran tratamientos de datos personales diversos tipos de actuaciones con datos personales: Recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción .
Las normas de la GDPR se aplican a las empresas que procesan datos personales total o parcialmente, mediante procesamiento automatizado o manual, o si los datos forman parte de un sistema de archivo estructurado.
Ejemplos de datos personales
El Reglamento General de Protección de Datos se aplica al tratamiento de datos personales. Las empresas deben proteger los siguientes datos personales:
- Datos personales del empleado (nombre, dirección, fecha de nacimiento, etc.)
- Información sobre clientes/pacientes/residentes (bases de datos de marketing, registros médicos, listas de contactos)
- Datos personales no públicos de socios comerciales y proveedores.
- Datos personales transferidos y tratados por terceros (libros de contabilidad, registros de crédito, marketing directo)
- Imágenes y grabaciones de sonido.
- Datos cifrados (direcciones IP, direcciones MAC, cookies si pueden vincularse a una persona física)
- Fotos de individuos
- Grabaciones de vídeo
El propósito del GDPR
El Reglamento General de Protección de Datos tiene como finalidad proteger la privacidad de los ciudadanos. Por tanto, las empresas están obligadas a proteger los datos personales de estos ciudadanos y no pueden procesarlos ni venderlos a terceros sin su consentimiento.
En el pasado, las empresas se habrían vendido datos entre sí sin el consentimiento de los interesados. GDPR tiene como objetivo crear una norma estandarizada uniforme para la protección de datos personales dentro de la UE.
Otro propósito de la GDPR es modernizar las reglas anteriores para que se alineen con la sociedad digital moderna.
Derechos del individuo
La GDPR tiene como objetivo ayudar a los ciudadanos de la UE a comprender cómo se utilizan sus datos y cómo presentar quejas. El objetivo es dar a las personas control sobre sus datos personales. Los ciudadanos tienen los siguientes derechos:
- derecho a ser informado
- derecho de acceso
- derecho de rectificación
- derecho a la supresión/al olvido
- derecho a restringir el procesamiento
- derecho a la portabilidad de los datos
- derecho de oposición y derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles
El alcance de la GDPR
El Reglamento general de protección de datos afecta a todas las organizaciones que procesan datos personales de ciudadanos de la UE, incluidas todas las empresas que ofrecen bienes y servicios o emplean a personas en la UE, incluso si una entidad tiene su sede fuera de la UE.
El RGPD se aplica a empresas, asociaciones, organizaciones, autoridades y, en algunos casos, a particulares.
GDPR cubre toda la Unión Europea, se aplica a todos los estados miembros y cubre los países del Espacio Económico Europeo, como Islandia, Liechtenstein, Noruega y el Reino Unido.
Los siete principios de la GDPR
GDPR se basa en siete principios para el procesamiento de datos personales.
- Legalidad, equidad y transparencia
- Limitación de finalidad
- Minimización de datos
- Exactitud
- Limitación de almacenamiento
- Integridad y confidencialidad (seguridad)
- Responsabilidad
Violaciones de la GDPR: multas
En caso de infracción de la GDPR, existen dos tipos de multas que las empresas pueden estar obligadas a pagar.
- El nivel inferior es de hasta 10 millones de euros, o el 2% de los ingresos anuales mundiales del año anterior, dependiendo de cuál sea mayor. Violaciones relacionadas con el mantenimiento de registros, la seguridad de los datos, etc.
- El nivel superior es de hasta 20 millones de euros, o el 4% de los ingresos totales mundiales del año fiscal anterior, dependiendo de cuál sea mayor. Estas multas generalmente se imponen por violaciones relacionadas con los principios de protección de datos, la base legal para el procesamiento, la prohibición de procesar datos sensibles, la denegación de los derechos de los interesados o la transferencia de datos a países no pertenecientes a la UE.
Las multas de la GDPR se aplican a todo tipo de empresas, desde las grandes hasta las pequeñas.
Las multas se fijan para cada caso individual y deben ser efectivas, proporcionadas y disuasorias. Existe un catálogo de criterios que se utilizan para fijar una multa suficientemente alta. Se consideran los siguientes criterios:
- si la violación fue intencional
- el número de personas afectadas
- ¿Qué tipo de medidas tomó la empresa para mitigar el daño?
- el nivel de colaboración con las autoridades, etc.
Diferencias en GDPR dentro de la UE
BDSG de Alemania
Cuando la GDPR entró en vigor, también lo hizo la nueva Ley de Privacidad de Alemania (BDSG-nueva). Complementa, especifica y modifica el GDPR y se centra en temas específicos. La nueva BDSG se aplica a empresas privadas con sede en Alemania que procesan datos personales en Alemania, pero también a empresas que ofrecen bienes y servicios en Alemania o supervisan el comportamiento de los interesados en Alemania.
Cinco leyes de privacidad en el mundo similares al GDPR
Brasil
Brasil lanzó la LGPD en septiembre de 2020, justo después del GDPR. Son muy similares en términos de alcance y aplicabilidad. Las empresas que quieran hacer negocios en la economía brasileña deben cumplir con la LGPD.
Sudáfrica
La Ley de Protección de Información Personal de Sudáfrica (POPIA) es aplicable a partir de julio de 2020. Existen algunas diferencias entre GDPR y POPIA con respecto a cuán estrictas son las leyes. GDPR tiene multas más altas, pero POPIA incluye cargos penales.
Turquía
La Ley de Protección de Datos Personales (LPDP) de Turquía ha sido modificada varias veces desde 2016 y se acerca al GDPR, especialmente en lo que respecta al procesamiento de datos personales.
EE.UU
Cada estado tiene sus propias leyes de privacidad. En el Estado de Nueva York existe 23 NYCRR 500, que se aplica a las instituciones financieras que operan en Nueva York. En California existe la Ley de Privacidad del Consumidor de California (CCPA), que se parece mucho al RGPD.
La CCPA tiene como objetivo promover el derecho constitucional de los consumidores a la privacidad brindándoles una forma efectiva de controlar su información personal. El proyecto de ley fue aprobado por la Legislatura del Estado de California y entró en vigor en enero de 2020.
Tailandia
En febrero de 2019 se aprobó la Ley de Protección de Datos Personales de Tailandia (PDPA), pero se retrasó la fecha de entrada en vigor. La ley entra en vigor a partir del 1 de junio de 2022. La PDPA es como el GDPR, en el sentido de que incluye una definición amplia de datos personales, el requisito de establecer una base legal para la recopilación y el uso de datos personales y sanciones elevadas por infracción. Las multas son menores, aunque existe la posibilidad de prisión.
Las 3 mayores multas del RGPD
#1 Amazon – multa de 746 millones de euros
La Comisión Nacional de Protección de Datos de Luxemburgo (CNDP) impuso una multa de 746 millones de euros a Amazon.com Inc. Se abrió una investigación debido a una denuncia presentada por 10.000 personas contra Amazon en mayo de 2018. La CNPD descubrió que Amazon había violado la GDPR. cuando su sistema de orientación de publicidad no logró obtener el consentimiento adecuado de los usuarios.
# 2 WhatsApp – multa de 225 millones de euros
La Comisión de Privacidad de Datos (DPC) de Irlanda emitió una multa GDPR a WhatsApp Irlanda el 2 de septiembre de 2021. WhatsApp Ireland Ltd violó el principio de transparencia y la empresa no proporcionó información adecuada a los usuarios. En 2021, WhatsApp actualizó su Aviso de Privacidad del Usuario para aumentar la transparencia sobre el procesamiento de los datos personales de los usuarios.
# 3 Google LLC – multa de 90 millones de euros
La CNIL (Comission nationale de l'informatique et des libertés) impuso una multa de 90 millones de euros a Google LLC. A los usuarios de YouTube en Francia no se les permitía rechazar las cookies tan fácilmente como aceptarlas. Cuando se disuade a los usuarios de rechazar las cookies, la empresa se beneficia y eso se considera una violación de la GDPR.
5 pasos para proteger los datos para el cumplimiento del GDPR
1
Realizar una auditoría de datos
Debe saber qué tipo de datos personales genera su empresa y dónde se almacena la información.
2
Implementar pautas de manejo de documentos
Cree un conjunto de reglas que especifiquen cómo se pueden manejar los datos personales.
3
Eduque a sus empleados
Todo empleado debe saber cómo manejar los datos personales.
4
Cifre sus datos
GDPR recomienda que todos los medios y dispositivos externos estén cifrados.
5
Proteja sus datos contra filtraciones y amenazas internas
La prevención de pérdida de datos es una estrategia integral que debe implementarse no solo por el RGPD sino porque los datos son uno de los activos más valiosos que tienen las empresas. Asegure sus datos y métodos de comunicación, como correo electrónico, almacenamiento en la nube, mensajería instantánea, impresión, unidades USB, dispositivos móviles, etc.
Cómo alinear la GDPR con Safetica
Safetica le ayuda a monitorear el flujo de datos dentro de su entorno de TI, así como cuando salen del perímetro de su empresa. Puedes establecer reglas específicas que le ayuden a cumplir con la GPDR. Podrá ver cómo los empleados trabajan con datos personales y otros datos confidenciales, y le permitirá eliminar el riesgo de uso indebido o violación accidental de la política. El sistema le notifica en tiempo real en caso de una amenaza a la seguridad.
La privacidad y la protección de los datos personales deberían ser un derecho absoluto de todos en el mundo moderno. Por eso en Safetica colocamos estas protecciones en el centro de cada uno de nuestros productos ”,
afirma Radim Trávníček , CISO de Safetica.
Si desea obtener más información sobre el cumplimiento normativo y Safetica, consulte este enlace o agende una demo con nuestros expertos en seguridad.
Autor
Kristýna Svobodová
Content Strategist @Safetica
Próximos artículos
Cumplimiento Normativo
Cumplimiento Normativo
Blog
Regulaciones de datos en todo el mundo
Vea una lista de algunas de las principales regulaciones de protección de datos, marcos de seguridad cibernética y estándares de seguridad de datos específicos de la industria de diferentes rincones del mundo.
Cumplimiento Normativo
Blog