Hoy hablaremos sobre el "gran y terrible" GDPR (Reglamento General de Protección de Datos) o el Reglamento General para la Protección de Datos Personales. A pesar de que la ley fue adoptada en mayo de 2018, muchas empresas aún no cumplen con todos sus requisitos.
Nos reunimos con nuestro DPO (Oficial de Protección de Datos) para decirle en términos simples qué es GDPR y qué deben hacer las empresas para evitar grandes multas.
El artículo contiene notas al pie que citan las definiciones básicas de la ley.
- ¿Qué es el RGPD?
- El RGPD es un derecho internacional ¹ que se aplica a todo el mundo, aunque fue adoptado en la UE. Esta es una ley que protege los derechos de los usuarios en Internet, regulando, en particular, la transferencia, procesamiento, almacenamiento de datos personales de cada persona que se encuentra en la UE o es ciudadano de la UE.
¹ “El presente Reglamento se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento de un controlador o procesador en la Unión, independientemente de si el procesamiento tiene lugar en la Unión o no".- ¿Incluso si utiliza los servicios / sitios de empresas fuera de la UE?
- Sí, el estado internacional le permite extender el efecto de la ley no solo en la UE. Si alguien utiliza los recursos disponibles para él desde el territorio de la UE o es ciudadano de la UE, pero se encuentra en el territorio de otros estados, todavía está sujeto a esta ley.
- ¿Cuál fue el motivo de su adopción?- La adopción del GDPR fue precedida por muchos casos de abuso de datos, incluidos los personales. Los especialistas en marketing comenzaron a "aterrorizar" a las personas con diversos tipos de investigación. Comenzaron a estudiar el comportamiento y los hábitos de una persona y usar este conocimiento, lo que lo hizo más indefenso. Cuando una persona realizaba algunas acciones en el sitio, los sistemas de recomendación, por ejemplo, lo provocaban a un determinado comportamiento.
Facebook, en algún momento, comenzó a vender legalmente datos de usuarios para investigación. Además, todos los datos biométricos quedaron protegidos, y esto es muy importante ya que pasaportes electrónicos introducidos en la UE.
- ¿Qué deben hacer las empresas de países no pertenecientes a la UE para cumplir con los requisitos de esta ley?
- Es necesario observar las reglas que define esta ley. En primer lugar, debe notificar a los usuarios sobre la recopilación de información. Este es el primer visitante de recursos que se encuentra. La empresa debe transmitir de manera clara y sencilla (incluso a través de soluciones de diseño) al usuario lo que quiere de él, qué datos se recopilan y por qué lo necesitan. Si, por ejemplo, se recopilan parámetros de peso, es necesario indicar por qué se usarán (si su objetivo real es ofrecer un medicamento para bajar de peso, debe escribirse).
- ¿Deben almacenarse los datos en forma anónima?- La ley obliga a anonimizar los datos y almacenarlos en diferentes lugares. Pero el hecho es que aquí hay dos roles principales: procesador ² y controlador ³.
El controlador es el que recopila y utiliza estos datos, está obligado a almacenarlos de forma anónima y en diferentes lugares, de modo que, por ejemplo, los atacantes, habiendo obtenido acceso a alguna base de datos, no podrían comparar estos datos con una persona real. Por ejemplo, su nombre, dirección, número de tarjeta bancaria, altura, peso, estado civil, etc. Cada elemento debe almacenarse en diferentes bases de datos. En un nombre, en el segundo estado civil, en la tercera dirección, etc.
Pero cada compañía tiene algoritmos que le permiten conectar todo esto y usarlo para sus propios fines. Por lo tanto, proporcionar almacenamiento de datos es una cosa. Pero el procesamiento ⁴ esto es completamente diferente. Debería haber protocolos de acceso a datos. Si no están allí, en caso de fuga, la comisión lo aclarará, y si no tenía protocolos, la comisión decidirá que lo mantenga bien y no lo procese muy bien, y tome medidas.
² “'procesador' significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador”;
³ “'controlador' significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales; cuando los fines y los medios de dicho procesamiento estén determinados por la legislación de la Unión o de los Estados miembros "
⁴ “procesamiento” significa cualquier operación o conjunto de operaciones que se realiza en datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, restricción, borrado o destrucción ".
- ¿Cómo se organiza el proceso de traducción de un sitio / negocio existente para cumplir con los requisitos de esta ley?
- En primer lugar, es necesario analizar el estado actual de la recopilación y el procesamiento de datos. En consecuencia, si en este momento solo se usa un servidor, es necesario dividirlo en varios, de modo que sea imposible hackear todas las bases de datos de una fuente. La protección debe estar en la entrada de información, y el servidor es monitoreado constantemente por un software antivirus. Es aconsejable proporcionar el segundo canal con Internet, de modo que en caso de una fuga a través de uno de los canales, apáguelo y realice el trabajo para eliminar todos los problemas en el otro canal. El acceso solo debe ser a través de una conexión VPN segura. Ahora todos los principales navegadores escriben advertencias cuando intentan acceder a páginas sin https.
Si se usa https, todo está bien. Por cierto, Google, que durante mucho tiempo ignoró algunos de los requisitos de esta ley, tiene en cuenta la presencia de un certificado SSL como uno de los factores de clasificación en la búsqueda.
- ¿Qué amenaza el incumplimiento de los requisitos de esta ley?
- Si estamos hablando del residente de la UE, entonces, por supuesto, habrá sanciones, órdenes que serán emitidas por las autoridades reguladoras después del análisis y la investigación. En principio, a nivel macro, todo esto está regulado por una multa alta de 20 millones de euros, o el 4% de la facturación anual . El tribunal europeo, que considerará el caso, preferiría un 4% de la facturación a 20 millones de euros.
Pero este es el máximo. Ha pasado un año desde la entrada en vigor de la ley, y ya ha habido casos prácticos. En los casos en que la filtración fue mínima y nadie resultó herido, los atacantes fueron atrapados y la compañía simplemente emitió una advertencia. Si, por negligencia, no se hizo algo, dieron una multa, de un par a cientos de miles de euros. Hasta la fecha, Google ha emitido la multa más grande de € 50 millones por el continuo incumplimiento de ciertos requisitos de la ley. Especialmente castigado severamente por la pérdida de datos biométricos, por ejemplo, instituciones médicas, esto fue advertido de inmediato.
- ¿Quién está obligado a cumplir con esta ley y a quién no se aplica la acción?
- El que no almacena datos personales ⁵: los datos que le permiten identificar a una persona o determinar su ubicación, por ejemplo, ip también se incluyen aquí, pero en este momento la comisión no considera ip como datos personales. El nombre y el número de teléfono son datos personales si se recopilan con la intención no solo de contactar a la persona, sino también de usarlos de alguna otra manera. Aunque solo sea para comunicación, los datos no tienen la fuerza y las limitaciones en los períodos de retención. Estos objetivos no implican la venta de bienes o la predicción del comportamiento del usuario.
También vale la pena recordar que el correo, nombre de usuario o contraseña, por separado, no son datos personales. Solo específicamente aquellos parámetros que le permiten personalizar a una persona o determinar dónde está, por ejemplo, las direcciones ip + mac.
En el espacio postsoviético, estamos acostumbrados al hecho de que "si no está permitido, está prohibido", en los países liberales, por el contrario, "lo que no está prohibido está permitido". Estos son dos paradigmas completamente diferentes, y actitudes hacia la ley. Y, en consecuencia, la presunción de inocencia es válida aquí: hasta que se demuestre, no es culpable.
⁵ “'datos personales' significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos a lo físico, fisiológico, identidad genética, mental, económica, cultural o social de esa persona natural ”;
- Ahora, la comisión ha presentado otra ley sobre la protección de datos personales, la ley sobre cookies, cuéntanos más sobre esto.
- Esta es solo la cuestión de las direcciones IP. A través de ip, puede determinar dónde está la persona, la configuración completa del equipo. Pero al mismo tiempo es necesario cumplir de alguna manera con esta ley. Ahora ip se ha movido más allá del alcance de esta ley . Pero no se van, la pregunta sigue abierta, porque todavía requiere regulación. Ya había dos de sus ediciones, pronto habrá una tercera. Su uso es excelente para socavar. Gran Bretaña ya ha comenzado a moverse en esta dirección .
Si la ley se adopta en la versión actual, Google y compañías similares simplemente no podrán trabajar en la UE. Ahora todos están presionando para mitigar esta ley. Pero vale la pena rendir homenaje a la UE, están prestando gran atención a las personas, sus ciudadanos y residentes, y están promoviendo esta ley a favor de las personas. Si bien la ley no ha sido adoptada, y ni siquiera está en la última fase de lectura. Pero guiado por la práctica, incluso si se acepta en 2019, generalmente se otorgan 1-2 años para poner en orden todos los asuntos.
Ahora, la cuestión es solo qué tan profundamente se permitirá a las compañías penetrar en la vida personal de las personas.
- ¿Cuál es la composición del equipo requerida para implementar medidas para cumplir con los requisitos del sitio de esta ley?
- Por lo general, esto implica un empleo parcial, en casos excepcionales es necesario involucrar a todo el equipo a tiempo completo. El analista llevará a cabo una auditoría del estado actual de la empresa y generará especificaciones para su ejecución. Un administrador del sistema o DevOps que será responsable del hardware, los canales de comunicación y más, y un programador , finalizarán el sitio.
- ¿Cuál será el resultado del trabajo del equipo y la empresa del cliente?
- En primer lugar, se modificará el trabajo con datos personales (procesamiento): la recopilación, el procesamiento y el almacenamiento se ajustarán a la ley. Con un alto grado de probabilidad, aparecerá un nuevo puesto en la empresa del cliente: Oficial de Protección de Datos (DPO). Se trabajará en el sitio web de la compañía y la documentación disponible para los usuarios (Declaración de seguridad, Política de privacidad, Política de procesamiento de cookies, etc.). Aparecerán protocolos internos para el acceso y procesamiento de datos personales de los usuarios.
Puede obtener más información sobre GDPR haciendo clic en el enlace: https://www.gdpreu.org/ (el recurso está disponible solo en inglés).