Decideo: Noticias sobre Inteligencia de Negocios, Big Data, Data Science, Data Mining


Actualidades y análisis

RGPD: El Escudo que protegerá la privacidad y el uso de los datos personales de los europeos


, el 23 Abril 2018 | Leído 668 veces

Una reforma sobre la privacidad y protección de datos personales entrará en vigor el próximo 25 de mayo de manera inmediata y automáticamente para aquellas empresas situadas en territorio europeo o en cualquier parte del mundo, involucradas con la recolección, almacenamiento y tratamiento de datos personales de los europeos. Así que también podría aplicarle a usted. ¿Preparado para actuar conforme al reglamento RGPD?



Por el mal uso y abuso de los datos

Photo by Scott Webb on Unsplash
Photo by Scott Webb on Unsplash
Muchas de las nuevas tecnologías que se han desplegado en la actual era digital, se catalogan como intrusivas e invasoras de la privacidad por el mal uso y abuso de los datos personales causando daños al individuo incluso sin que éste lo sepa. Varios escándalos han girado en torno a la privacidad de los datos de los usuarios, como el reciente caso entre el gigante de las redes sociales. Facebook, y la compañía Cambridge Analytica, con fines políticos a partir de los datos personales compartidos en esta red social. Así como en este caso, puede haber diferentes actores dispuestos a acceder a información personal y usarla para diferentes propósitos.

El objetivo del RGPD

El Reglamento General de Protección de Datos, RGPD o GDPR, por sus siglas en inglés de ‘General Data Protection Regulation’ es el nuevo régimen de la Unión Europea, UE, que garantiza el control del tratamiento de datos personales, mejora la privacidad de los ciudadanos europeos, definiendo las reglas concernientes a los datos personales recolectados, los fines de utilización, la circulación de dichos datos y la duración de conservación.

Responsables del tratamiento de datos personales y ámbito territorial

Cualquier organización que se dedique al procesamiento de datos personales, dentro del ámbito territorial RGPD, debe actuar de conformidad con esta reglamentación. Es decir, la regulación aplica para todos los actores económicos y sociales, incluyendo los subcontratistas, de empresas, asociaciones, organismos públicos, que ofrecen bienes o servicios en el mercado de la UE y que sus actividades involucran el tratamiento de datos personales de ciudadanos o residentes de la UE. Veamos el siguiente ejemplo:
Una universidad ubicada en Miami ofrece cursos en línea y a través de su plataforma virtual recolecta los nombres, apellidos, teléfonos y direcciones residenciales de alumnos provenientes de España y Francia para luego almacenarlos en sus bases de datos y sistemas informáticos; dicha entidad educativa está en la obligación de cumplir a conformidad con el RGPD ya que ofrece servicios a ciudadanos provenientes de estados miembros de la UE. Un posible incumplimiento podría causar un impacto financiero significativo debido a la multa administrativa modular que podrá ser el 4% de las cifra anual de ventas a nivel global o 20 millones de Euros, y conducir a procedimientos judiciales, daños a la reputación y lo más grave una pérdida de clientes.

El concepto de ‘datos personales‘

Se refiere a cualquier información que permita identificar una persona física directa o indirectamente, pudiendo ser su nombre, su localización geográfica, su número de identificación, la dirección IP de su ordenador, género, ocupaciones y otros tipos de datos disponibles en diferentes formas, incluidas alfabéticas, numéricas y gráficas, en papel o almacenada en computadoras o de cualquier otra manera. Este concepto de datos personales también incluye los datos especiales o sensibles a saber: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía sindical, datos genéticos, datos biométricos utilizados para identificar de manera única a las personas físicas (una grabación de la voz, por ejemplo), datos de salud, datos sobre la vida sexual de las personas y la orientación sexual.

Las principales reglas a respetar

- Lógica de responsabilización: es la organización misma la encargada de tomar las medidas para garantizar la conformidad del RGPD y la que será capaz de demostrar que ha cumplido sus obligaciones.

- Limitación de la finalidad: Colectar los datos debe realizarse con un objetivo específico comunicando claramente dicha finalidad a la persona respectiva quien debe dar su consentimiento explícito.

- Minimización de los datos: Recolectar la información debe limitarse solamente a los datos personales necesarios.

- Derecho a la rectificación y la conservación: los datos deben ser exactos y actualizados cuando se requiera, conservándolos únicamente por un tiempo limitado.

- Los datos personales recolectados deben ser de carácter confidencial y conservar su integridad durante todo el ciclo de vida del dato.

- Las personas pueden solicitar la eliminación de sus datos personales, el derecho al olvido.

- Trazabilidad de actividades a cargo del responsable del tratamiento de los datos con el fin de responder de dónde vienen los datos, por qué fueron recolectados, por cuanto tiempo, en qué contexto fueron utilizados y cuando serán destruidos. Es el registro de tratamiento.

- Privacy by design: se deben tomar medidas para evitar que se produzcan riesgos de privacidad desde la concepción del producto o servicio y de los sistemas informáticos que procesan los datos personales, incluyendo los sitios web, las plataformas en la nube y las de redes sociales, ya sea mediante técnicas de anonimización o cifrado de los datos.

- Protección de datos por defecto: refuerza el rol de la seguridad de los sistemas de información en sus diferentes niveles físicos y lógicos incluyendo el estricto control del acceso a las bases de datos.

- Análisis de riesgos y amenazas: es determinar los riesgos y las posibles amenazas de los datos personales que la compañía maneja. Es un análisis técnico a nivel de la solución informática y a la vez un análisis jurídico de los impactos a nivel de la reglamentación.

El rol de DPO

Diversas empresas requerirán un delegado responsable de la protección de datos, el DPO (Data Protection Officer), especialmente para las empresas donde el tratamiento de datos es frecuente y a gran escala. Este rol tiene como misión garantizar el cumplimiento del RGPD dentro de la organización asegurando un nivel de seguridad según los riesgos. Este rol será igualmente el punto de contacto con las autoridades de control.

El RGPD requiere, para ciertos casos obligatorios, un estudio de impacto para los tratamientos de datos personales que presentan un "alto riesgo para los derechos y la libertad de las personas físicas". Este estudio deberá evaluar los riesgos de violación de datos, especialmente con respecto a la privacidad, y así permitir la implementación de medidas de seguridad adecuadas.

Conclusión

Todo esto, parece complicado; una sinergia de aspectos jurídicos y técnicos; es un desafío para las organizaciones pero a la vez una gran oportunidad ya que esto supone una clarificación de los sistemas de información: toda organización deberá saber en cualquier momento, con qué tipo de datos personales cuenta, el objetivo preciso de haberlos recolectado, en donde los tiene almacenados, son obsoletos o vigentes, en qué servidores están, cómo los clasifica y gestiona en un ambiente seguro, y en general cómo circulan desde la colecta hasta la destrucción pasando por el almacenamiento, adaptación, conservación y todo el conjunto de operaciones que permiten procesarlos y tratarlos. Procesos automatizados y documentados serán requeridos. Una confianza hacia los clientes, el punto importante a destacar de actuar conforme al reglamento RGPD. Adicionalmente, la gobernanza de datos y la gestión de riesgos son dos elementos clave para el cumplimiento del RGPD.




Nuevo comentario:
Facebook Twitter

Usted puede comentar o proporcionar más información a todos los artículos de este sitio. Los comentarios son libres y abiertos a todos. Sin embargo, nos reservamos el derecho a eliminar, sin previo aviso ni explicación, todo comentario que no cumpla con nuestras normas internas de funcionamiento, es decir, cualquier comentario difamatorio o sin relación con el tema del artículo. Así mismo, los comentarios anónimos son eliminados sistemáticamente si son demasiado negativos o muy positivos. Exprese sus opiniones, compártalas con los demás y asúmalas. Gracias de antemano. Igualmente, agradecemos tener en cuenta que los comentarios no sean enviados automáticamente a los redactores de cada artículo. Si usted desea realizar una pregunta al autor de un artículo, contáctelo directamente, no utilice los comentarios.


Twitter
Rss
LinkedIn
Google+
Facebook