RGPD: el primer gran obstáculo para el Big Data
La regulación que acaba de aprobar el parlamento europeo cambia en forma sustancial los criterios de protección de los datos de los ciudadanos europeos y pone a prueba a los gobiernos de América Latina.
En pleno crecimiento exponencial de las posibilidades del Big Data y el desarrollo de nuevas tecnologías basadas en el tratamiento de los datos personales, la Unión Europea tomó la delantera al elaborar una normativa única para sus 28 miembros focalizada en la protección de la privacidad y los datos de sus ciudadanos. La aprobación del texto ocurre en el contexto de las recientes filtraciones masivas de datos personales.
A pesar de la coyuntura, este reglamento no es reciente sino que entró en vigor el 25 de mayo de 2016 y dos años más tarde comienza a aplicarse plenamente.
De modo que, a partir del pasado 25 de mayo el Reglamento de Protección de Datos en Europa (RGPD o GDPR, por sus siglas en inglés) contempla la forma cómo las grandes compañías deben tratar la información de sus usuarios. Por primera vez se establecen normas sobre el derecho de las personas a saber quiénes y por qué están almacenando sus datos.
Uno de los principales cambios de la nueva ley es que, a partir de ahora, si una compañía desea obtener información de un usuario de la Unión Europea necesitará primero su consentimiento explícito. El cliente deberán autorizar tanto la recolección como el almacenaje, y el permiso debe ser específico para cada uso que se quiera hacer.
Además, el organismo tiene la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales.
Si el usuario desea alguna información sobre los datos que tiene una empresa en su poder, puede dirigirse a la institución o empresa, que tendrá la obligación de proveer copias gratuitas de sus datos. En el caso en que el usuario pida la baja del servicio, la institución o empresa deberá darla sin ningún obstáculo.
La nueva ley establece que debe ser tan fácil darse de baja como lo fue en su momento el alta del servicio. Los ciudadanos podrán solicitar que su nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web o redes sociales, información médica o una dirección IP sean eliminados cuando ya no sean necesarios, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
La entidad tiene que responder las solicitudes en el plazo de un mes, aunque puede alargarse hasta dos meses para solicitudes complejas, siempre que se informe de la prórroga al interesado.
En pleno crecimiento exponencial de las posibilidades del Big Data y el desarrollo de nuevas tecnologías basadas en el tratamiento de los datos personales, la Unión Europea tomó la delantera al elaborar una normativa única para sus 28 miembros focalizada en la protección de la privacidad y los datos de sus ciudadanos. La aprobación del texto ocurre en el contexto de las recientes filtraciones masivas de datos personales.
A pesar de la coyuntura, este reglamento no es reciente sino que entró en vigor el 25 de mayo de 2016 y dos años más tarde comienza a aplicarse plenamente.
De modo que, a partir del pasado 25 de mayo el Reglamento de Protección de Datos en Europa (RGPD o GDPR, por sus siglas en inglés) contempla la forma cómo las grandes compañías deben tratar la información de sus usuarios. Por primera vez se establecen normas sobre el derecho de las personas a saber quiénes y por qué están almacenando sus datos.
Uno de los principales cambios de la nueva ley es que, a partir de ahora, si una compañía desea obtener información de un usuario de la Unión Europea necesitará primero su consentimiento explícito. El cliente deberán autorizar tanto la recolección como el almacenaje, y el permiso debe ser específico para cada uso que se quiera hacer.
Además, el organismo tiene la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales.
Si el usuario desea alguna información sobre los datos que tiene una empresa en su poder, puede dirigirse a la institución o empresa, que tendrá la obligación de proveer copias gratuitas de sus datos. En el caso en que el usuario pida la baja del servicio, la institución o empresa deberá darla sin ningún obstáculo.
La nueva ley establece que debe ser tan fácil darse de baja como lo fue en su momento el alta del servicio. Los ciudadanos podrán solicitar que su nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web o redes sociales, información médica o una dirección IP sean eliminados cuando ya no sean necesarios, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
La entidad tiene que responder las solicitudes en el plazo de un mes, aunque puede alargarse hasta dos meses para solicitudes complejas, siempre que se informe de la prórroga al interesado.
Sanciones
Las obligaciones fijadas en el RGPD afectan a todas las empresas, organizaciones o instituciones con sede en la UE que recaben y procesen datos de carácter personal. Pero también se aplica a aquellas organizaciones localizadas fuera de Europa que ofrezcan bienes y servicios a ciudadanos europeos y manejen sus datos personales.
En caso de incumplimiento, la ley establece que los particulares y las organizaciones de protección de datos podrán denunciarlas ante las autoridades y podrán imponer sanciones de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa. En casos leves, la autoridad podrá advertir o imponer medidas correctivas como establecer el cese del almacenamiento de datos personales.
En caso de incumplimiento, la ley establece que los particulares y las organizaciones de protección de datos podrán denunciarlas ante las autoridades y podrán imponer sanciones de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa. En casos leves, la autoridad podrá advertir o imponer medidas correctivas como establecer el cese del almacenamiento de datos personales.
Algunas claves
*
A partir de ahora, una empresa solo podrá tratar datos personales en algunas condiciones: el procesamiento debe tener un fin específico y legítimo, y limitarse a recoger los datos necesarios solo para cumplir ese fin. Además, tendrá que borrar los datos cuando no los necesite más.
*
Las empresas de más de 250 trabajadores o que traten datos personales sensibles deberán crear un Registro de Actividades de Tratamiento donde indiquen quién es el responsable de los datos y se haga inventario del tipo de datos que poseen, cómo se tratan y cómo se protegen. Para las empresas más pequeñas no es obligatorio, pero sí recomendable.
*
Todos los organismos y entidades públicas (excepto los tribunales) y aquellas organizaciones o empresas que traten datos sensibles, deberán nombrar un delegado de protección de datos (DPD). Este nuevo puesto requiere formación especializada y específica en protección de datos, ya que se encargará de supervisar y dar a conocer la política de protección de datos. También será el nexo con la autoridad de control de protección de datos nacional.
América Latina
El RGPD podría desencadenar la actualización de la legislación de muchos países latinoamericanos ya que la reglamentación se aplica a todas las empresas que procesan datos de personas que viven en países de la Unión Europea. Por ejemplo, un hotel en Acapulco que reciba reservas de clientes italianos deberá tratar la información personal de los huéspedes según la normativa del RGPD. De modo que por más que parta de Europa, se trata de una internacionalización de la protección de datos.
En América Latina, al no existir regulación común, cada país ha abordado el tema de manera distinta, aunque existen organizaciones como la Red Iberoamericana de Protección de Datos, donde se realiza un intercambio de buenas prácticas entre los principales actores del sector público y privado, con las principales agencias de protección de datos de los países miembros.
Algunos países como Uruguay, México, Argentina y Chile han tomado la delantera en la materia, ya sea porque cuentan con una normativa específica desde hace varios años, o porque tienen autoridades específicas en materia de protección de datos. Otros países de la región aún se encuentran discutiendo sus primeras normas de protección de datos.
En América Latina, al no existir regulación común, cada país ha abordado el tema de manera distinta, aunque existen organizaciones como la Red Iberoamericana de Protección de Datos, donde se realiza un intercambio de buenas prácticas entre los principales actores del sector público y privado, con las principales agencias de protección de datos de los países miembros.
Algunos países como Uruguay, México, Argentina y Chile han tomado la delantera en la materia, ya sea porque cuentan con una normativa específica desde hace varios años, o porque tienen autoridades específicas en materia de protección de datos. Otros países de la región aún se encuentran discutiendo sus primeras normas de protección de datos.
La Red Iberoamericana de Protección de Datos se reunió por primera vez hace 11 meses y en ese encuentro surgió el primer documento los Estándares de Protección de Datos Personales para los Estados Iberoamericanos que sirve como base a las regulaciones futuras de la normativa de protección de datos.
El documento expresa una declaración de intenciones al destacar que la protección de datos de las personas físicas es un derecho fundamental y, por tanto, merece la máxima protección. Pero también se señala la dificultad de que en muchos países no tienen normativa en la materia.
El RGPD europeo es un buen punto de partida para asegurar los estándares de protección de datos en Latinoamérica y para atraer inversión, y seguramente se convierta en referencia para muchos países de la región.
El documento expresa una declaración de intenciones al destacar que la protección de datos de las personas físicas es un derecho fundamental y, por tanto, merece la máxima protección. Pero también se señala la dificultad de que en muchos países no tienen normativa en la materia.
El RGPD europeo es un buen punto de partida para asegurar los estándares de protección de datos en Latinoamérica y para atraer inversión, y seguramente se convierta en referencia para muchos países de la región.
Contenido relacionado
Contenidos XS de Amenaza Roboto
Tech & Twitter
Ideas breves sobre la tecnología y la sociedad.
Roboto News
Noticias tech en 3 minutos. Dale play!
Que comience el diálogo
¡Ponete en contacto con nosotros!
amenazaroboto@gmail.com