Ya debes haber percibido que, en el último año, tu buzón de correo electrónico recibió diversos mensajes de empresas informando sobre la actualización de sus términos de servicio. ¿Sabes por qué eso ocurrió? La respuesta es GDPR, y te vamos explicar todo lo que precisas saber sobre la nueva ley.


1. ¿Qué es GDPR?

 

GDPR, del inglés, General Data Protection Regulation o, en español, Reglamento General de Protección de Datos. Ella es una ley creada por la Unión Europea que garantiza la protección y privacidad de datos de los usuarios. Ella es consecuencia de la cuarta revolución industrial y del rápido avance de la tecnología, de la globalización y del flujo internacional de datos personales cada vez mayor. Esa ley reglamenta cómo las empresas deben tratar los datos personales de millares de usuarios que acceden sus redes.

GDPR determina 6 elementos que las empresas deben respetar y seguir al procesar información personal. Continúe leyendo y descubre cuáles son y porqué debes implementar en tu sitio.

 

2. ¿Qué es reglamentación GDPR?

 

Ella reglamenta el procesamiento de los datos de usuarios individuales de UE, lo que puede incluir colecta, almacenamiento, transferencia, uso y hasta mismo exclusión de eses datos. Esa ley es aplicada en empresas con y sin presencia física en territorio europeo, basta que el sitio de la empresa atienda a los usuarios de la unión para que se sometan a la reglamentación.

Debido a las diferentes aplicaciones posibles la reglamentación divide las organizaciones entre “controladoras” y “procesadoras”. La primeira son las organizaciones que detienen los datos, mientras que las segundas se ocupan apenas de procesarlos siguiendo los comandos de las controladoras. La ley se aplica para los dos tipos de organización.

 

4. ¿Cómo GDPR afecta mi empresa en América Latina?

 

Caso tu empresa guarde, procese información personal, realice transacciones comerciales u ofrezca productos y servicios a la Unión Europea precisas seguir las reglas de la GDPR.

Procesar información personal significa operar com cualquier dato que identifique el usuario como único. Por ejemplo, desde la activación de cookies en el navegador hasta el rastreo de comportamiento de eses usuarios por CRM, es preciso adecuarse a la ley, una vez que esas actividades son pasibles de identificación.

 

5. ¿Qué ocurre con la empresa que no cumplir com la GDPR?

 

Quién no cumplir la ley será multado entre dos niveles posibles de castigo. El primero castigo implica en una multa de hasta 10 millones de euros o 2% de la facturación anual global, lo que sea mayor. La multa en el segundo nivel es de hasta 20 millones de euros o 4% de la facturación anual global, también conforme con lo que sea mayor. 

De manera general, la primera multa es destinada a la violación de controladores y procesadores, mientras que la violación de privacidad de los datos de los usuarios resulta en la multa de mayor valor.

Hay diversos criterios que se deben tener en cuenta para ser determinado el valor de la multa, tales como naturaleza, gravedad y duración de la infracción. Las autoridades que definen la multa pueden aún considerar los tipos de datos afectados, las infracciones previas y el nivel de cooperación de la empresa infractora.

 

6. Guía de implementación de la GDPR

 

Ahora que ya sabes los principios básicos de la GDPR, es hora de profundizarse en el tema y descubrir los 6 elementos que tu empresa deberá seguir. Son ellos:

 

Transparencia

Tu empresa debe tratar datos personales dentro de la ley, de manera justa y transparente. Eso significa decir que precisas siempre notificar que estás recolectando información y debe, aún, especificar cuál información y cómo ella será utilizada.

 

Propósito Delimitado

Tu empresa debe recolectar apenas datos específicos con intenciones específicas. Jamás puedes procesar información más allá de las que contemplan las intenciones específicas e informadas al usuario.

 

Minimización de datos

Así como en el propósito delimitado, puedes apenas recolectar datos personales adecuados y relevantes para tus intenciones. Eso significa que recolectar o cuestionar cualquier información no relacionada al servicio ofrecido es prohibido. Por ejemplo, al descargar algo, el desarrollador no debe acceder la localización exacta o la agenda de contactos del usuario si no fueren relevantes para el servicio fornecido por la aplicación o si el usuario no permitir.

 

Precisión

Todo dato personal que recolectar debe ser correcto, claro y, cuando necesario, ser actualizado para estar en día con la información personal del usuario.

 

Eliminación de Datos

Los datos personales de los usuarios solo deben ser mantenidos mientras son necesarios y sean útiles para el propósito original. Por ejemplo, al cerrar una cuenta en el banco, es deber de la organización deletar toda información del usuario que no tenga un propósito legítimo. 

 

Seguridad

Organizaciones deben usar técnicas apropiadas y medidas de seguridad para proteger datos personales contra el procesamiento no autorizado o vaciamiento. Acceso, pérdida o alteración indebida de los datos implica en penalidades. Dependiendo del caso, es recomendado, cuando no obligatorio, el uso de datos segregados, criptografados, seudonimizados o anonimizados.