El Nuevo reglamento de la Unión Europea tiene como objetivo aumentar la seguridad de los datos personales de los residentes del bloque.
GDPR es la sigla en inglés para General Data Protection Regulation –traducido, Reglamento General de Protección de Datos– y es una ley de la Unión Europea que entró en vigor el día 25 de mayo de este año e introdujo nuevas normas sobre obligaciones, responsabilidades, derechos y restricciones sobre el flujo de datos internacionales.
El reglamento fue creado con el objetivo de proteger la privacidad y datos personales de los residentes de la Unión Europea, incluyendo normas más rígidas, elevando el nivel de seguridad y prestación de cuentas exigidas, especialmente para empresas que manipulan datos de esos ciudadanos, estando la compañía o no, geográficamente localizado en el bloque.
Si una empresa colecta alguna información de residentes de la UE a través de internet o tiene relaciones con cualquier persona que realice negocios a través de la red, debe seguir las normas del GDPR, lo que interfiere directamente en negocios de diferentes segmentos, que requieren validar sus conductas para adaptarse a las exigencias.
El nuevo reglamento determina cómo deben ser procesados los datos personales de los residentes de la Unión Europea, desde la colecta, grabación, almacenamiento, hasta la edición. Por vez primera, se introduce la discusión sobre violación de datos en la legislación europea, siendo una ruptura para los padrones de ciberseguridad mundial.
Empresas que no se adecuen, deberán enfrentar pesadas multas por falta de conformidad.
¿Cuáles son las principales reglas?
El documento es extenso y con el resumen de muchas discusiones que han llevado años para ser concluidas. Por ello, algunos de los cambios más relevantes son, por ejemplo, plazo de hasta 72 horas para reportar un incidente, en cuanto se tiene conocimiento sobre el asunto y que envuelva datos personales de algún residente europeo.
Otra exigencia es que empresas subcontratadas como terceros, también deben estar en la cadena de suplementos, siguiendo las normas, siendo la empresa contratante también responsable por la conformidad de las acciones. Por consecuencia, puede ser necesario el entrenamiento de abastecedores, así como la validación de las redes del socio o también el intercambio de empresas por otras que sean regulares.
Para utilizar los datos de un usuario, la empresa debe tener de forma escrita u oral el consentimiento de la persona, de que sus datos serán utilizados, antes de ser procesados.
En esta cuestión, el usuario pasa a tener el derecho del olvido, pudiendo alterar u ocultar parte de su información personal, así como el derecho de retirar el consentimiento dado anteriormente. En la práctica, significa que la empresa deberá tener un local en que centralice y almacene esa información, además de que deberán estar disponibles para la edición del usuario, cuando sea necesario.
¿Cómo debe prepararse la empresa?
El primer paso es que la empresa cree un comité gestor, con el liderazgo ejecutivo que guiará el proceso de conformidad para las nuevas reglas. En seguida, estudiar minuciosamente las reglas del GDPR y hacer un diagnóstico de la empresa para saber si está de acuerdo con las exigencias, de lo contrario, saber cuáles procesos deben ser los iniciados, inversiones y cronogramas para que entre en concordancia.
Realizar entrenamientos con el equipo interno para tener la seguridad de que entendieron el cambio y que no habrá riesgo de acciones que estén fuera del reglamento. Una investigación señala que una multa por falta de alineación con el GDPR puede representar hasta 4% de la cuenta total de una empresa. ¿Quién quiere arriesgar?
Lo ideal es también buscar un socio especializado en la reglamentación, para ayudar a encuadrar el camino y reducir riesgos en la implantación de las nuevas reglas de confidencialidad.
