La principal conferencia europea sobre medios digitales, Dmexco, se está llevando a cabo actualmente en Colonia. Mientras las marcas globales, los editores y los líderes de la tecnología publicitaria se reúnen para discutir oportunidades y desafíos en los medios digitales, un nuevo conjunto de leyes de protección de datos propuestas en la Unión Europea se ha convertido rápidamente en el tema de discusión más candente.
Esta es su guía para comprender el Reglamento General de Protección de Datos, o GDPR, y lo que significa para usted.
¿Qué es GDPR?
Reglamento General de Protección de Datos es el nuevo marco regulatorio que sustituirá al Directiva de protección de datos de 1995, que existe desde hace dos décadas y en conjunto con las leyes nacionales de datos, actualmente establece estipulaciones sobre cómo las empresas y oficinas públicas recopilan, almacenan y utilizan datos personales de los usuarios en la Unión Europea.
En estas dos décadas, la economía basada en Internet se ha generalizado, cambiando la forma en que las empresas capturan y utilizan los datos de los usuarios, tanto en términos de tamaño como de alcance, dejando la directiva anterior en gran medida obsoleta.
Después de años de debates y negociaciones, el RGPD fue adoptado tanto por el Parlamento Europeo como por el Consejo Europeo en abril de 2008, y el nuevo regulación Directivas fueron publicados poco después. Está previsto que el reglamento entre en vigor en mayo de 2018, lo que dará a las organizaciones cubiertas por el reglamento tiempo suficiente para prepararse.
La nueva regulación otorgará a los usuarios nuevos derechos de acceso a la información que las empresas tienen sobre ellos, directivas para una mejor gestión de datos y seguridad de la información, y un nuevo conjunto de multas en caso de incumplimiento.
Necesito saber
Quién se verá afectado: Cualquier organización que recopile información sobre residentes de la UE.
¿Cuándo? 25 de mayo, 2018
Agencia encargada de hacer cumplir la ley: La Oficina del Comisionado de Información en el Reino Unido (ICO)
Organizaciones que caen bajo la categoría de controladores de datos o procesadores de datos estarán obligados a cumplir con la nueva regulación. Esto cubre nuevas empresas, organizaciones sin fines de lucro, empresas, básicamente todos.
Lo que hay que tener en cuenta aquí es que El RGPD no es una cuestión específica de Europa, afectará a cualquier organización que ofrezca bienes o servicios a usuarios en la UE o supervise el comportamiento de personas ubicadas en Europa, independientemente de dónde estén ubicadas sus oficinas o servidores de datos.
El RGPD cubre ambos con sensible datos del usuario. Los datos personales pueden incluir nombre, correo electrónico, dirección, IP... y otros detalles similares que se recopilan comúnmente durante los registros. Los datos confidenciales incluyen información genética, escaneos biométricos, opiniones políticas o religiosas y orientación sexual, entre otros.
Un cambio importante en el nuevo reglamento es que, a diferencia de la directiva anterior, también cubre los datos del usuario almacenados bajo un seudónimo, siempre que el seudónimo pueda usarse para identificar al individuo.
Privilegios de nuevos usuarios
En el régimen anterior, los usuarios tenían que presentar una Solicitud de acceso al sujeto (SAR) y desembolsar £10 para obtener acceso a la información que una empresa pudiera tener sobre ellos, según el RGPD. Las solicitudes de información personal se pueden realizar de forma gratuita.. Además, estos datos ahora deberán ser facilitados al usuario en el plazo de 30 días desde que se planteó la solicitud.
El reglamento también otorga a los usuarios el derecho a que se borren sus datos en circunstancias que incluyen si los datos se recopilan de manera ilegal o sin un interés legítimo, si se retira el consentimiento y en caso de que los datos ya no sean necesarios para el propósito para el que fueron recopilados.
Seguridad de datos y cumplimiento
Además de las pautas sobre la recopilación de datos y los privilegios de los usuarios, el RGPD también tiene directivas para establecer y garantizar estándares establecidos de seguridad de los datos, incluida la auditoría y evaluación de los datos, las políticas de protección y la documentación.
Una forma en que las organizaciones pueden cumplir estos requisitos es implementando un Gestión de postura de seguridad de datos (DSPM) estrategia, que implica identificar, monitorear y proteger continuamente datos confidenciales en entornos locales y en la nube.
En los últimos años, ha habido múltiples violaciones de datos a gran escala, incluida información de cuentas de usuarios en poder de empresas como Yahoo y LinkedIn. Según el RGPD, las empresas ahora serán responsables de la “destrucción, pérdida, alteración, divulgación o acceso no autorizado a” los datos de los usuarios.
En caso de pérdida o violación de datos, las organizaciones deben informar al gobierno dentro de las 72 horas posteriores a enterarse del incidente, trabajar con los organismos reguladores en el período siguiente y pueden estar sujetas a acciones legales.
Las empresas emergentes suelen renunciar a la debida diligencia en lo que respecta a la recopilación de datos y la seguridad en favor de la velocidad y la escalabilidad; esto ya no será posible sin incurrir en multas.
Para las organizaciones con más de 250 empleados, será obligatoria la documentación sobre por qué se recopila la información del usuario, dónde se guarda, durante cuánto tiempo y datos técnicos que detallen las medidas de seguridad implementadas. Es posible que las organizaciones grandes también necesiten contratar específicamente a un “responsable de protección de datos” para supervisar y garantizar el cumplimiento de las políticas.
Multas
Uno de los aspectos más discutidos del RGPD es el nuevo régimen de multas que conlleva. Ahora se pueden imponer multas tanto por pequeños como por grandes casos de incumplimiento.
¿No contrató a un delegado de protección de datos cuando el RGPD lo exigía? Te pueden multar. ¿Tuvo una brecha de seguridad? Hay una multa por eso. ¿Documentación incompleta? Multado. Entiendes la idea. Y a diferencia de la directiva anterior, las multas pueden ser sustanciales.
Por infracciones menores, las empresas podrían incurrir en multas de hasta 10 millones de euros o el dos por ciento de la facturación global de la organización, lo que sea mayor; las infracciones más graves podrían dar lugar a multas de hasta casi el doble de esa cantidad. Se trata de un gran paso adelante con respecto al límite superior de 500,000 libras esterlinas que existía en virtud de la anterior directiva de protección de datos.
Aunque, el ICO ha sido claro en cuanto a “preferir la zanahoria al palo” y ha estado haciendo su parte para calmar la sensación de pánico en la industria.
"Es alarmista sugerir que crearemos ejemplos tempranos de organizaciones para infracciones menores o que las multas máximas se convertirán en la norma", escribió Elizabeth Denham, comisionada de información del Reino Unido, en una publicación reciente en un blog.
Shubham es un especialista en marketing digital con amplia experiencia trabajando en la industria de la tecnología publicitaria. Tiene una amplia experiencia en la industria programática, impulsando la estrategia comercial y escalando funciones que incluyen, entre otras, crecimiento y marketing, operaciones, optimización de procesos y ventas.
