La nueva ley GDPR para una mejor seguridad de los datos

December 03, 2024 | 8 minutes read
La nueva ley GDPR para una mejor seguridad de los datos

Oficialmente conocido como Reglamento de la Unión Europea 2016/679, el Reglamento General de Protección de Datos, es una nueva ley con efectos de amplio alcance. ¿Cuáles son las implicaciones del GDPR? Esa es la gran pregunta que todo el mundo se hace. La UE la redactó para contener a todas las empresas que tengan alguna capacidad operativa dentro de la UE; eso significa que las empresas estadounidenses también se verán afectadas por esta ley. En la fecha de este escrito (junio de 2018), la ley es demasiado nueva para que podamos comprender todas sus implicaciones.

Historia de la protección de datos en la UE

La protección de datos se convirtió en una prioridad de la UE en algún momento del cambio de siglo. Tras innumerables atentados terroristas en la UE, muchos organismos reforzaron sus protocolos de seguridad. Desde sus inicios, la Carta de la UE trató de institucionalizar la protección. Incluye el artículo 8 (1), que establece que la protección del tratamiento de los datos de las personas es un derecho fundamental.

En un principio, la Directiva 95/46/CE era la única medida para proteger los datos personales. Pero con el cambio de siglo, la UE se dio cuenta rápidamente de que la Directiva abordaba un ámbito muy limitado (principalmente transacciones de pago y aplicaciones financieras) y no iba lo suficientemente lejos, en su opinión, cuando se trataba de capturar contenidos digitales.

La UE tardó varios años en debatir y construir una solución, pero la 2016/679 sustituye a la 95/46/CE y está redactada de forma más amplia para cubrir todos los aspectos de la recopilación de datos que afectan a las personas.

¿Qué ha cambiado en la antigua ley?

Los principales cambios se refieren a la interpretación amplia de los datos. Antes de la Era Digital, los datos estaban vinculados a ordenadores que procesaban transacciones de personas, como ya se ha dicho. Gran parte de ellos estaban relacionados con el procesamiento financiero, por lo que la ley original se centraba en ese sector. Ahora, con la llegada de los datos digitales a casi todas las industrias, así como la proliferación de su intercambio entre diversas entidades, la UE ha decidido reescribir su visión original de lo que constituyen los datos, y eso significa que han considerado e incorporado todos los posibles datos y puntos de acceso que capturan datos personalizados de cualquier tipo.

El segundo cambio importante de la ley es que, aunque la UE no exigirá a las empresas y personas que capturan datos personalizados que tengan un plan para mitigar esos datos de forma preventiva, en cuanto la UE descubra que no pueden atender las peticiones de los ciudadanos para que esos datos se eliminen de sus sistemas, empezarán a imponerse las multas. Las multas implicadas son enormes, y tienen el potencial de dejar fuera del negocio a las empresas más fuertes y reacias al riesgo en el momento en que se impone la multa, que está estructurada en 20 millones de euros como máximo, pero puede incluso estar vinculada a porcentajes de los ingresos anuales en los países de la UE, superiores al cuatro por ciento.

Esto significa que muchas más empresas y personas se ven afectadas por la ley, y eso significa que la gente necesita aprender la ley, cómo se aplica a su escenario de captura de datos, y encontrar maneras apropiadas de manejar cualquier solicitud potencial.

¿Cómo afecta a las empresas y las administraciones públicas?

GDPR and its effect on businesses and government agencies

Las principales repercusiones del RGPD son los requisitos que impone a determinadas organizaciones, tanto públicas como privadas. En primer lugar, todas las organizaciones afectadas por el RGPD tendrán que someterse a lo que se denomina una evaluación del impacto de la protección de datos (EIPD). Esta evaluación tiene por objeto comprender los datos que recopila la organización y cómo se manejan, almacenan y gestionan.

El segundo impacto es que las organizaciones de cierto tamaño tendrán que contratar a su propio responsable de protección de datos (DPO) a tiempo completo. Estas personas tendrán que recibir formación sobre el RGPD y cómo cumplirlo. Las organizaciones que no cumplan los criterios para disponer de un RPD interno a tiempo completo tendrán que contratar los servicios de una organización que disponga de personal RPD.

El objetivo es suprimir la mayor cantidad posible de datos de identificación personal y responsabilizar a las organizaciones por ello. Pero la UE también concedió algunas exenciones a los procesos del RGPD en determinados casos. Gran parte de esas exenciones se encuentran en las subsecciones 45 (relativa a cuestiones médicas, de bienestar público y catástrofes), 50 (investigación científica, histórica y científica), 52 (legislación laboral y de protección social) y en las secciones siguientes, en las que se reafirman las diversas exenciones.

En la letra d) del apartado 2 del artículo 2, la UE especifica que existen excepciones para las fuerzas y cuerpos de seguridad a la hora de seguir los procedimientos descritos en la retirada de datos. El lenguaje deja claro que las fuerzas y cuerpos de seguridad tendrán un amplio margen para no cumplir la ley. Sin embargo, puede exigirse su cumplimiento caso por caso.

En los apartados 86 y 88, hay párrafos dedicados a la notificación de las violaciones de datos que afectan a los datos protegidos por el RGPD, que exigen la notificación oportuna y la plena transparencia con las autoridades policiales cuando inicien investigaciones.

Lo que no aborda el RGPD

El RGPD se centra en las entidades que recopilan datos en el proceso de actividades empresariales y oficiales, que la UE considera que no deben almacenarse de por vida. La UE dedicó mucho tiempo a abordar estas preocupaciones. Lo que omitieron, y lo hicieron intencionadamente, fue abordar la cuestión de los ciudadanos particulares que recopilan datos para sus propios fines específicos. El sitio web oficial de la UE cita el ejemplo de un ciudadano que utiliza su libreta de direcciones para invitar por correo electrónico a sus amigos a un evento. Esto entra dentro de la exención doméstica. Sin embargo, las primeras reacciones sugieren que no todas las actividades de los particulares pueden acogerse a esta exención. Lo analizaremos en artículos posteriores.

También concede a los Estados miembros de la UE una exención importante, que entra dentro de los derechos que tienen en un documento separado, el Tratado de la Unión Europea, en el Título V, Capítulo 2. No vamos a entrar en detalles aquí, pero todo el capítulo lee sobre numerosos escenarios donde, cuando se aplica al GDPR, hace que los Estados miembros puedan concederse exenciones. No vamos a entrar aquí en los detalles, pero en todo el capítulo se repasan numerosos supuestos en los que, aplicados al RGPD, los Estados miembros pueden concederse exenciones. Es probable que haya un buen razonamiento para ello, pero teniendo en cuenta lo estricto que se redactó el RGPD para todos los demás, resulta insultante a primera vista.

El GDPR también tiene un componente importante que no aborda: los límites por los que se puede aplicar. Aunque el reglamento habla de la jurisdicción general, parece que se ha redactado lo suficientemente bien como para quedar vagamente abierto a posibles interpretaciones fuera de la UE. Y eso significa muchos quebraderos de cabeza para todas las empresas y organismos gubernamentales de fuera de la UE. De nuevo, un tema que trataremos específicamente en un artículo posterior.

Cómo cumplir la normativa

La piedra angular de la protección de datos es la redacción de los mismos. La información personal identificable puede estar expuesta en vídeos, audio, documentos e imágenes. Todos ellos requieren redacción. La importancia de un buen software de redacción es primordial para el cumplimiento del GDPR. Para ser eficaz en su trabajo, un delegado de protección de datos necesitará un software de redacción como CaseGuard Studio. Con funciones manuales y automáticas, incluso los protocolos de redacción más complejos pueden racionalizarse para evitar retrasos.

A medida que el mundo se digitaliza más y más, es más fácil acceder a los datos. Como tal, las leyes en torno a la protección de datos se harán más estrictas. Para garantizar el cumplimiento a tiempo, las herramientas que utilizan inteligencia artificial cobrarán cada vez más importancia. CaseGuard Studio utiliza IA de primera línea para automatizar la redacción de documentos, audio, vídeo e imágenes.

Conclusiones

El RGPD es un reglamento largo y complicado que trata de abordar las principales operaciones de recopilación y almacenamiento de datos, pero que también trata de permitir que el gobierno opere de la forma en que lo haría normalmente. Aunque se ha dedicado mucho esfuerzo, tiempo y reflexión inteligente a este reglamento, su aplicación es todavía muy reciente, lo que significa que la forma en que se aplicará a todos se irá resolviendo con el tiempo.

Podemos estar seguros de que muchas de las cuestiones relativas a su aplicación han sido bien estudiadas, pero los tribunales siempre pueden rechazar, modificar o acentuar algunas partes. El verdadero reto será cuando las jurisdicciones de fuera de la UE tengan que pronunciarse, lo que puede llevar a cerrar la expansividad del reglamento tal y como está ahora.

Related Reads

what-is-the-colorado-privacy-act
December 04, 2024 | 7 minutes read
La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado protege la privacidad y los datos personales de los residentes del estado al regular su uso en Internet.

Conozca Más »
hb-3746-an-update-to-data-breach-notifications-in-the-state-of-texas
December 04, 2024 | 5 minutes read
Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley HB 3746 modifica y actualiza las leyes de notificación de violación de datos en el estado para mejorar la transparencia y la protección.

Conozca Más »
what-is-the-childrens-internet-protection-act
December 04, 2024 | 4 minutes read
La Ley de Protección de la Infancia en Internet

La Ley de Protección de Menores en Internet (CIPA), aprobada en 2000, regula el acceso de menores a contenidos nocivos u ofensivos en Internet.

Conozca Más »
traditional-video-editing-software-vs-machine-learning-software
December 04, 2024 | 8 minutes read
Evoluciones en software de edición y soluciones geniales

La edición de vídeo es el proceso de manipular secuencias grabadas para crear contenido coherente, generalmente para su difusión al público a través de medios.

Conozca Más »
female-real-estate-agent-and-a-senior-couple-discu-NUECSFV
December 04, 2024 | 8 minutes read
Lo que el OCR puede hacer por su empresa

Las empresas de todo el mundo buscan mejores formas de automatizar o acelerar el procesamiento de documentos, y la tecnología OCR ofrece una solución.

Conozca Más »
Doctor checking medical records
December 04, 2024 | 9 minutes read
Intervención y redacción de los centros de crisis

El Departamento Federal de Salud y Servicios Humanos (HHS) aprobó la normativa HIPAA en 1996 para proteger la información médica privada de los pacientes.

Conozca Más »