Aprobado por el Parlamento de la UE en abril de, el Reglamento General de Protección de Datos ( GDPR ) de la Unión Europea (UE) entrará en vigor en mayo de. El nuevo reglamento reemplazará a la Directiva de Protección de Datos de 1995 y está diseñado para ser un nuevo enfoque en la forma en que las organizaciones abordarán el procesamiento y la protección de datos, en particular la información de identificación personal de los ciudadanos de la UE. Además de simplificar la forma en que todos los estados miembros de la UE protegen la información, el RGPD estandarizará las leyes de privacidad de datos en toda la Unión. Dado que el RGPD es un reglamento y no una directiva como su predecesor, la política es vinculante para todos los estados miembros de la UE.
El RGPD entra en vigor en un momento en que las infracciones sustanciales han dominado las noticias, particularmente en incidentes en los que los usuarios, sin culpa alguna, pusieron en riesgo su información personal confidencial. Las violaciones de Equifax y de la Oficina de Gestión de Personal son dos ejemplos de ello: la primera entregó a casi la mitad de la población de Estados Unidos. Uno de los aspectos más notables del RGPD, a diferencia de su predecesor, es que se centra en los derechos individuales de los ciudadanos de la UE, permitiéndoles tener un control sustancial sobre cómo las organizaciones usan, procesan y almacenan su información. Según el RGPD, entre los derechos favorables a las personas se encuentran:
- Derecho a negarse a convertirse en interesado. Esto significa que los ciudadanos pueden negarse a que se procese cualquiera de sus datos personales.
- El derecho a ser informado. Una vez que hayas dado tu consentimiento y te hayas convertido en interesado, tienes derecho a ser informado sobre todo lo que sucede con tus datos personales, para qué se utilizan, tienes derecho a acceder a ellos y a modificarlos e incluso a retirar el consentimiento para una determinada organización.
- Derecho a limitar el tratamiento de datos. El individuo puede restringir el procesamiento de datos personales.
- El derecho a ser «olvidado». En este caso, el individuo puede solicitar a una organización que elimine o elimine sus datos personales de sus sistemas (una advertencia: existen algunas circunstancias en las que los datos no se borrarán a solicitud del individuo, como por obligación legal o por motivos de salud pública). , Por ejemplo).
Otro aspecto destacable del RGPD es su impacto en las organizaciones extranjeras que realizan negocios o transacciones con empresas europeas o con ciudadanos europeos. El RGPD aborda dos categorías de organizaciones: “controladores” y “procesadores” de información. Según la normativa, son entidades a cargo las que determinan los fines, condiciones y medios del tratamiento de los datos personales, mientras que los encargados del tratamiento manejan los datos por cuenta del responsable. Esto es importante porque exige que las organizaciones extranjeras cumplan plenamente con las directrices establecidas por el GDPR, o de lo contrario corren el riesgo de sufrir multas de hasta el 4 por ciento de sus ingresos anuales, oillones de euros, dependiendo de qué ingresos sean mayores.
A pesar de casi dos años desde que el Parlamento Europeo aprobó el RGPD, existe una preocupación legítima de que tanto las organizaciones europeas como las extranjeras no estén preparadas para cumplir con los requisitos de seguridad descritos en el RGPD. Según una encuesta reciente de Vanson Bourne, realizada a 625 tomadores de decisiones de TI en Bélgica, Francia, Luxemburgo y el Reino Unido, la investigación reveló que el 54 por ciento de las empresas tenía poca comprensión de las multas asociadas con el incumplimiento; El 17 por ciento de todas las empresas encuestadas admitieron que si fueran multadas en virtud del RGPD, cerrarían; y el 39 por ciento de los responsables de la toma de decisiones de TI encuestados dijeron que las multas provocarían despidos dentro de sus negocios. De manera similar, una conferencia dereveló resultados similares para las empresas estadounidenses, ya que solo el 22 por ciento parecía preocupado por el RGPD, y más del 50 por ciento desconocía su relevancia para su negocio. Cualquier empresa debería recurrir a expertos en GDPR para que les ayuden con el cumplimiento del GDPR. Para conocer más empresas que trabajan con el cumplimiento del RGPD, consulte nuestra lista de proveedores de seguridad de datos .
Sin embargo, el énfasis en la responsabilidad organizacional para la protección de datos civiles fuera de una región geográfica específica es una iniciativa digna de mención y puede ser un presagio de lo que vendrá. En junio de, China promulgó su Ley de Seguridad Cibernética en la que impuso restricciones a determinadas transferencias de datos fuera de China. Si bien no es una ley general de privacidad de datos como el GDPR, sí contiene estipulaciones estrictas con respecto a la privacidad de los datos y la seguridad cibernética.
El enfoque en proteger los datos de las personas subraya un cambio de perspectiva sobre cómo abordar la seguridad cibernética. Y este es un avance bienvenido. Dependiendo de cómo la UE y China tengan éxito en estos esfuerzos, se podría alentar a otros gobiernos a seguir el ejemplo y elevar la protección de datos de sus ciudadanos a la vanguardia de sus preocupaciones en materia de ciberseguridad. Con el volumen global de datos personales sensibles ya comprometidos (más de 4 mil millones de registros de datos fueron robados en), esperemos que no sea demasiado tarde.
Esta es una publicación invitada escrita por Emilio Iasiello.