Si vas a explotar los servicios de TI para lanzar y dirigir tu negocio digital, se te exige -por ley- que entiendas de qué trata el GDPR

En el contexto de este modelo, te compartiremos un par de informaciones que necesitas para operar un negocio digital en Europa en cumplimiento del GDPR.

¿Qué es el GDPR?

Reglamento del Parlamento Europeo y del Consejo de la UE sobre "la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos".

Fuente: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02016R0679-20160504

Según el Derecho de la UE, un reglamento es un acto jurídico de las instituciones políticas de la UE que todos los Estados miembros deben cumplir (como en el caso del GDPR). No todos los tipos de legislación de la UE son tan vinculantes como los reglamentos...
 

Cuanto más alto sea el nivel, más vinculante será el contenido legislativo

Todo el interés del RGPD se centra en los ciudadanos de la UE y su "derecho al olvido".

• Por un lado, el RGPD representa un sistema de derechos y "privilegios" muy sólido y fiable, si lo miramos desde la perspectiva del ciudadano particular.

​​​​​​​• Por otro lado, el RGPD introduce un amplio conjunto de obligaciones y deberes, impuestos por la ley, que todas las organizaciones que operan en la UE deben cumplir, si lo miramos desde la perspectiva de la empresa.

Para entender mejor el reglamento de Protección de Datos general -y cómo puede cumplirlo- es necesario que le demos primero un par de pautas y pilares clave que orientan la relación del reglamento:

Cualquier información relativa a una persona física identificada o identificable ("sujeto de datos"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número identificativo, localización de los datos, un identificador online o uno o más factores específicos del físico, psicológico, genético, mental, económico, cultural or identidad social de una persona física.

Cita del texto legislativo

Cualquier operación o conjunto de operaciones que se realicen sobre los datos personales o conjunto de los datos personales, por medios automatizados o no, tales como, tales como: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación*, supresión o desctrucción.
* El marcado de los datos personales almacenados con el fin de limitar su tratamiento en el futuro.
 

Cita del texto legislativo

Cualquier información de tratamiento automatizado de datos personales que consiste en la utilización de datos personales para evaluar determinados aspectos personales relativos a una pesona física, en particular para analizar o predecir aspectos relativos al rendimiento laboral, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los movimientos de dicha persona física.

Cita del texto legislativo

La persona física o legal, autoridad pública, agencia u otro cuerpo que, solo o unido a otros, determina el propósito y significado del proceso de los datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por el Derecho de la Unión o de los Estados miembros.

Procesador → Una persona física o legal, autoridad pública, agencia u otros cuerpos que procesan datos personales en nombre del controlador.

Cita del texto legislativo

Toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen.

Cita del texto legislativo

Una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, alteración, la divulgación no autorizada,  o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo.

Cita del texto legislativo

Derechos de los ciudadanos 

Hay seis casos (es decir, escenarios) en los que las organizaciones están autorizadas a tratar los datos de los ciudadanos, siempre que cumplan plenamente el RGPD*:

*Del Artículo nº. 6 del texto legislativo

Transparencia

• Realiza una evaluación y auditoría rutinaria de los "datos personales" que proceses, y qué otras partes tienen acceso a ellos
• Revela la relación que subyace al tratamiento: ¿en cuál de los seis supuestos realizas el tratamiento?
• Opera en plena consonancia con el artículo 12: el primer derecho de los ciudadanos.  ​​​

• Adopta la protección de datos en todas las etapas del proceso de generación de valor
• Haz que los datos personales sean lo más anónimos posible
• Establece mecanismos de seguridad para prevenir violaciones de datos – ¿con quién compartes tus contraseñas?
• Valida la evaluación del impacto de los datos – ¿tu actividad daña o amenaza los datos personales?
• Probar un sistema de notificación en caso de violación de datos – recordando el derecho de los ciudadanos a ser informados

Responsabilidad

• Si tienes la oportunidad, nombra a un especialista que pueda encargarse de su cumplimiento
• Si algún tercero procesa datos en tu nombre, considera la posibilidad de firmar un acuerdo formal
• Las grandes organizaciones suelen contar con la experiencia de un responsable de la Protección de Datos, considera la posibilidad de contar con uno en cuanto tengas suficientes recursos económicos

Derechos de la protección de datos de los ciudadanos

• Asegúrate de volver a comprobar en cualquier momento el pleno cumplimiento de todos los derechos de los ciudadanos (vuelve a la diapositiva 16 como referencia)
• ¿Es fácil que los interesados sean informados sobre el tratamiento?
• ¿Es fácil para el interesado acceder a sus datos?
• ¿Es fácil para el interesado ser olvidado?

etc...