los Reglamento General de Protección de Datos de la UE (GDPR) es el cambio más importante en la regulación de la privacidad de datos en 20 años: en XcooBee hemos trabajado muy duro para crear sistemas que cumplan con las nuevas regulaciones. Más importante aún, hemos trabajado duro para que pueda usar XcooBee para que usted mismo cumpla con los requisitos.
XcooBee es una red de privacidad y derechos digitales que ayuda a usuarios y empresas por igual. El RGPD plantea las preocupaciones que XcooBee está abordando parte del marco legal en la UE.
Queremos asegurarnos de que las empresas entiendan el panorama y los cambios necesarios, incluso sin el uso de XcooBee para tener éxito en la implementación de controles de privacidad y gestión de procesos.
Según eugdpr.org, el GDPR de la UE reemplaza la Directiva de protección de datos 95/46 / CE y fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y potenciar la privacidad de los datos de todos los ciudadanos de la UE y para cambiar la forma en que las organizaciones de toda la región abordan los datos intimidad. Ahora, en lugar de tener muchas regulaciones de privacidad de datos diferentes, hay un estándar que las empresas deben seguir en toda la UE.
El objetivo del GDPR es proteger a todos los ciudadanos de la UE de la privacidad y las violaciones de datos en un mundo cada vez más basado en datos que es muy diferente del momento en que se estableció la directiva de 1995. Sin embargo, el impacto de la regulación se extiende más allá de la UE y también incluye a todas las empresas que hacen negocios con ciudadanos de la UE, incluso cuando se encuentran fuera de la UE.
Mayor alcance territorial (aplicabilidad extraterritorial)
El mayor cambio en el panorama regulatorio de la privacidad de datos viene con la jurisdicción extendida del GDPR. Se aplica a todas las empresas que procesan los datos personales de los interesados que residen en la Unión, independientemente de la ubicación de la empresa. GPDR se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no. El RGPD también se aplicará al procesamiento de datos personales de los interesados en la UE por un controlador o procesador no establecido en la UE, donde las actividades se relacionen con: ofrecer bienes o servicios a ciudadanos de la UE (independientemente de si se requiere el pago) y La supervisión del comportamiento que tiene lugar dentro de la UE. Las empresas no pertenecientes a la UE que procesen los datos de ciudadanos de la UE también deberán designar un representante en la UE.
Consentimiento
Las condiciones para el consentimiento se han fortalecido, y las compañías ya no podrán usar términos largos y ilegibles y condiciones llenas de jerga legal. La solicitud de consentimiento debe entregarse de forma inteligible y de fácil acceso, con el propósito de procesar los datos adjuntos a dicho consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y debe proporcionarse de forma inteligible y fácilmente accesible, utilizando un lenguaje claro y claro. Debe ser tan fácil retirar el consentimiento como darlo.
Sanciones
Bajo GDPR, las organizaciones que infrinjan GDPR pueden ser multadas hasta 4% de la facturación global anual o € 20 millones(lo que sea mayor). Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener el consentimiento suficiente del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por diseño. Hay un enfoque escalonado de las multas. Por ejemplo, una empresa puede recibir una multa de 2% por no tener sus registros en orden, no notificar a la autoridad supervisora y al interesado sobre una violación o no realizar una evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las 'nubes' no estarán exentas de la aplicación del RGPD.
Derechos del sujeto de datos
Los derechos de los sujetos de datos (sus derechos) también se analizan en el GDPR y reciben un impulso en varias áreas.
Derecho de acceso
Parte de los derechos ampliados de los interesados que se detallan en el GDPR es el derecho de los interesados a obtener de la confirmación del controlador de datos si se procesan o no los datos personales que les conciernen, dónde y para qué propósito. Además, el controlador proporcionará una copia de los datos personales, de forma gratuita, en formato electrónico. Este cambio es un cambio dramático hacia la transparencia de datos y el empoderamiento de los interesados.
Notificación de incumplimiento
Según el RGPD, la notificación de incumplimiento será obligatoria en todos los estados miembros donde es probable que un incumplimiento de datos "genere un riesgo para los derechos y libertades de las personas". Esto debe hacerse dentro de 72 horas de haber tomado conciencia de la violación. Los procesadores de datos también deberán notificar a sus clientes, los controladores, "sin demora indebida" después de darse cuenta por primera vez de una violación de datos.
Derecho a ser olvidado
También conocido como borrado de datos, el derecho a ser olvidado da derecho al interesado a que el controlador de datos borre sus datos personales, deje de difundirlos más y, posiblemente, que terceros detengan el procesamiento de los datos. Las condiciones para el borrado, como se describe en el artículo 17, incluyen los datos que ya no son relevantes para los propósitos originales para el procesamiento, o que los interesados retiren el consentimiento. Sin embargo, también debe tenerse en cuenta que este derecho requiere que los controladores comparen los derechos de los sujetos con "el interés público en la disponibilidad de los datos" al considerar tales solicitudes.
Portabilidad de datos
El RGPD introduce la portabilidad de datos: el derecho de un sujeto de datos a recibir los datos personales que le conciernen, que han proporcionado previamente en un 'formato de uso común y legible por máquina' y tienen el derecho de transmitir esos datos a otro controlador.
Privacidad por diseño
La privacidad por diseño como concepto ha existido anteriormente, pero con GDPR se está convirtiendo en parte del requisito legal. En esencia, la privacidad por diseño requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de una adición. Más específicamente: "El controlador deberá ... implementar medidas técnicas y organizativas apropiadas ... de manera efectiva ... para cumplir con los requisitos del presente Reglamento y proteger los derechos de los interesados". Además, el artículo 23 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), así como para limitar el acceso a los datos personales a aquellos que necesitan realizar el procesamiento.
Oficiales de protección de datos
Actualmente, los controladores deben notificar sus actividades de procesamiento de datos con las DPA locales, lo que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los Estados miembros tienen diferentes requisitos de notificación. Según el RGPD, no será necesario enviar notificaciones / registros a cada DPA local de las actividades de procesamiento de datos, ni será un requisito notificar / obtener aprobación para las transferencias basadas en las Cláusulas Modelo de Contrato (MCC). En cambio, habrá requisitos de mantenimiento de registros internos, como se explica más adelante, y el nombramiento de DPO será obligatorio solo para aquellos controladores y procesadores cuyas actividades principales consisten en operaciones de procesamiento que requieren un monitoreo regular y sistemático de los sujetos de datos a gran escala o de manera especial. categorías de datos o datos relacionados con condenas penales y delitos. Es importante destacar que el DPO:
- Debe ser designado sobre la base de las cualidades profesionales y, en particular, el conocimiento experto sobre las leyes y prácticas de protección de datos.
- Puede ser un miembro del personal o un proveedor de servicios externo
- Los datos de contacto deben proporcionarse a la DPA correspondiente
- Debe contar con los recursos apropiados para llevar a cabo sus tareas y mantener su conocimiento experto.
- Debe informar directamente al más alto nivel de gestión
- No debe realizar ninguna otra tarea que pueda dar lugar a un conflicto de intereses.
En XcooBee, estamos brindando soluciones para ayudar a las empresas con muchas facetas que ayudan con el cumplimiento de GDPR. Revise nuestras publicaciones detalladas sobre cómo podemos ayudar a las empresas a enfrentar los desafíos de GDPR.