¿Qué es RGPD (o GDPR)?
¿En qué se diferencia de la Directiva de Protección de Datos de la UE?
El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) es el marco legal de la UE y el Reino Unido que sustituyó a la anterior Directiva de Protección de Datos de la UE en 2018. La diferencia más significativa entre ambos es la que hay entre un reglamento y una directiva.
Un reglamento es una ley y es jurídicamente vinculante, mientras que una directiva es una recomendación y no es jurídicamente vinculante. Esto significa que RGPD es una ley que deben acatar todos los Estados Miembros europeos.
Esta distinción también puede explicarse de la siguiente manera: un reglamento es un conjunto único de normas que deben cumplirse, mientras que una directiva es un conjunto de normas que deja espacio a la interpretación.
Mientras que la anterior Directiva de Protección de Datos de la UE no definía qué era una filtración de datos, RGPD incluye esta definición tan amplia, afirmando que una filtración de datos es “una vulneración de la Seguridad que provoca la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizados a los datos personales transmitidos, almacenados o procesados de otro modo”.
Las definiciones de filtración de datos y datos personales son importantes porque, en virtud de ellas, muchos eventos o actividades diferentes podrían calificarse como vulneraciones de RGPD. Los datos personales se definen como “cualquier información relativa a una persona identificada o identificable; no se trata solo de datos que puedan ser utilizados para fraude o robo de identidad”.
¿Cuál es el objetivo de RGPD?
RGPD busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. La ley provee control individual acerca de cómo las compañías pueden utilizar la información que está directa y personalmente relacionada con los individuos, y otorga ocho derechos específicos.
Además, establece normas muy estrictas, que rigen lo que sucede si se vulnera el acceso a datos personales y las consecuencias (sanciones) que las organizaciones pueden sufrir en tal caso.
¿Cómo define RGPD a los “datos personales"?
En lo que respecta a la protección de datos, la normativa RGPD es la más estricta del mundo y define el término “datos personales" de forma tan amplia que abarca prácticamente cualquier información que pueda identificar a un individuo. RGPD puede aplicarse de muchas formas y los siguientes son tan solo unos ejemplos:
Identificación directa/indirecta
Datos asignados
Dirección IP
Para el Cumplimiento de RGPD, hay que recordar las palabras "cualquier información". A la hora de tratar y proteger los datos personales que estén en su poder, asuma y actúe como si esos datos fueran un factor de identificación. Como ejemplo de lo amplia que puede llegar a ser la interpretación del RGPD, el Tribunal de Justicia Europeo incluye incluso información menos obvia en su interpretación. Si una persona puede llegar a ser identificada por la información registrada sobre aspectos como las horas de inicio y fin de la jornada de trabajo, o las respuestas de un examen y las observaciones de un examinador, esto también puede caer bajo el paraguas de RGPD.
En su definición de datos personales, RGPD también incluye información subjetiva. Es decir, puede incluir situaciones como las revisiones del rendimiento en el trabajo o los informes de solvencia de una entidad de préstamo, entre otras.
RGPD también aplica niveles de protección y somete a un nivel de protección aún más alto a los datos personales sensibles tales como datos genéticos, de salud, raza, origen étnico, opiniones políticas, afiliaciones religiosas, afiliaciones sindicales, etc.
¿A quién aplica RGPD?
Los datos personales cubiertos por RGPD comienzan por los datos asignados a una persona física en el momento de su nacimiento, incluyen todos los datos identificables de esa persona a lo largo de su vida y terminan con la muerte de la persona. Sin embargo, no se aplica a organizaciones, Negocios, instituciones, etc.
Las organizaciones que almacenan o procesan información personal acerca de residentes de la UE están obligadas a cumplir con RGPD, aunque estén ubicadas fuera de la UE.
Recuerde que el Reglamento define datos personales como “cualquier información relativa a una persona física o individuo identificado o identificable“.
No se puede minimizar el impacto de RGPD en el personal de IT. Es responsabilidad de todos los miembros (controladores, oficiales de protección de datos y procesadores, entre otros) facilitar y exigir el Cumplimiento de RGPD. Este es un breve repaso de los roles asociados al Cumplimiento de RGPD:
Controlador:
Un controlador, solo o conjuntamente con otros, determina cómo y por qué se tratan los datos personales. Esta función es similar, pero ampliada, a la del anterior responsable del tratamiento de datos en virtud de las antiguas directivas de protección de datos de la UE. Legalmente, el responsable del tratamiento tiene la responsabilidad última de garantizar que los encargados del tratamiento cumplan las normas.
Procesador
Un procesador se define como cualquier persona que procesa datos en nombre del controlador de datos. Un ejemplo son las empresas externas, como las empresas de marketing y las empresas de alojamiento en Cloud.
Oficial de protección de datos
Puede ser necesario designar un oficial de protección de datos (DPO) como autoridad máxima en el Cumplimiento de RGPD dentro de la organización. De forma resumida: se requiere un DPO cuando el procesamiento de datos lo lleva a cabo una autoridad u organismo público, cuando los datos se procesan de forma regular y sistemática a gran escala, o cuando se aplica un procesamiento de datos especializados a gran escala, como las condenas penales.
Controladores, procesadores u organizaciones fuera de la UE
Los controladores, procesadores u organizaciones fuera de la UE, pero que ofrecen servicios o bienes en la UE o que procesan datos de identificación de ciudadanos de la UE, también tendrán que cumplir con RGPD
Los 8 derechos que establece RGPD
Derecho a estar informado
Derecho al acceso
Derecho a la rectificación
Derecho a ser borrado (derecho a ser olvidado)
Derecho a restringir el procesamiento
Derecho a la portabilidad de los datos
Derecho a objetar
Derecho a no ser sometido a la toma automatizada de decisiones
Desafíos del Cumplimiento de RGPD
Cumplir con las estrictas normas de RGPD plantea desafíos. Sin embargo, países de todo el mundo están de acuerdo en que las estrictas directrices diseñadas para proteger los datos personales trabajan en interés de las organizaciones y las personas, y muchos países están desarrollando normativas de Cumplimiento inspiradas en RGPD. Algunas de ellas son la Ley de Privacidad del Consumidor de California (CCPA), la propuesta de Ley de Aplicación de la Carta Digital de Canadá y la Lei Geral de Protecao de Dados (LGPD) de Brasil.
Para cumplir con la normativa, las organizaciones tienen que esforzarse por proteger los derechos de los titulares de los datos, llevar a cabo evaluaciones del impacto, reportar incidentes tales como las filtraciones y asegurarse de contar con procesos de auditoría. Además, aunque RGPD es un edicto de la UE, su impacto es global, porque las organizaciones que tienen empleados o clientes fuera de la UE o que utilizan datos procesados fuera de la UE también deben cumplirlo.
Cuando RGPD se promulgó, es posible que el personal de IT haya utilizado procesos manuales o incluso controles temporales para ayudar a cumplir los requisitos, pero este enfoque no es sostenible. En cambio, una tecnología de protección de datos potente, automatizada y optimizada cumple mejor los estrictos requisitos normativos para limitar el acceso a los datos personales y proteger los datos en reposo y en tránsito. Hay tres áreas que preocupan especialmente a los equipos de IT:
Seguridad
Gestión de datos
Automatización
Cumpla con los requisitos de RGPD con una suite de soluciones de Seguridad
Cumplir con RGPD requiere un enfoque por capas, que se puede implementar mejor con una suite de soluciones de Seguridad que puedan integrarse fácilmente en toda la empresa. Fortra ofrece una variedad de productos que le ayudarán a cumplir con RGDP.
Seguridad de email
Clasificación de Datos
Evaluación de vulnerabilidades y Protección de intrusiones
Transferencia Segura de Archivos (MFT)
Protección de la Infraestructura
Prevención de Pérdida de Datos (DLP)
Podemos ayudarlo con el Cumplimiento de RGPD
Solicite una sesión gratuita de 30 minutos con nuestro equipo para conversar sobre sus necesidades de Seguridad y analizar cuáles son las mejores soluciones para su organización. Lo ayudaremos a determinar cuáles son los siguientes pasos para cumplir con RGPD y proteger correctamente sus datos.