¿GDPR que es y por que debería importarme? Pero de manera descomplicada…
Andre Aquiles Claro Ramos
Account Technology Strategist at Microsoft | Academic Director at Universidad Andres Bello
En los últimos días he estado leyendo mucho sobre la regulación de protección de datos y evaluando sus impactos en distintos países y por eso decidí acá escribir un artículo con un resumen para que tengamos mas contenido disponible con un lenguaje menos técnico y en otros idiomas.
Parte 1 - Partamos por el principio:
GDPR = Reglamento General de Protección de Datos de la Unión Europea
¿Qué es un reglamento? ¿Es una ley? O mejor, ¿Cuál es la diferencia entre Leyes y los reglamentos?
Que hay de parecido entre leyes y regulaciones:
Las leyes y regulaciones son similares en el sentido de que ambas intentan especificar y organizar un comportamiento correcto.
Las leyes y reglamentos también se aplican a la plena autoridad de la ley. Si tu viola una ley o regulación, puede sufrir sanciones como prisión o multas.
Que hay de distinto entre leyes y regulaciones:
Las leyes pasan por un proceso de votación antes de establecerse como ley.
Una regulación es creada por una agencia gubernamental, para implementar una dada la ley, y no tiene que pasar por el proceso de votación descrito anteriormente.
Parte 2 – ¿Por que hacer caso de GDPR desde Chile u otro país?
No importa dónde se encuentre su negocio: Chile, Peru, Miami, Ciudad de México o Sydney: está pendiente de cumplir con este reglamento si almacena o procesa datos del consumidor de la UE, como datos de clientes o empleados y debera estar atento y riguroso en tus esfuerzos.
Cualquier organización que no cumpla podrá recibir una multa de hasta US $22 millones, o el 4% de sus ingresos anuales mundiales (lo que sea mayor).
Parte 3 – Desafíos actuales
La era digital, que trae consigo tecnologías como la computación en la nube e Internet de las Cosas (IoT), ha aumentado el intenso enfoque en la protección de datos personales.
El GDPR es diseñado para garantizar una protección y aplicación estrictas y continuas y para simplificar el entorno regulatorio para las organizaciones globales.
El GDPR define los datos personales de manera amplia y coloca al individuo en el centro. Además, le da a cada residente de la UE el derecho de saber y decidir cómo sus datos personales serán utilizados, almacenados, protegidos, transferidos o eliminados. Las personas tienen derecho a restringir el procesamiento posterior y solicitar que se borren todos sus datos (el "derecho a ser olvidado").
Parte 4 – ¿Que debo hacer para estar conforme con la regulación?
Según el GDPR, debes poder demostrar que sabes dónde están y no están los datos personales, en todos sus sistemas y líneas de negocio. Necesita saber quién puede acceder estos datos, así como cuándo y cómo lo hacen. Tendrás que protegerte diligentemente contra infracciones y si sufres algún tipo de violación, debe notificar a las autoridades y a los consumidores dentro de 72 horas, y después rectificar cualquier problema resultante.
Parte 5 – ¿Existe localmente conocimiento para cumplir con la norma?
En los últimos años he estado trabajando en SAS sobre el tema de GDPR y contamos con una solución para la regulación.
La solución tiene un framework de 5 capas que son:
- Acceder las distintas fuentes de información de la compañía.
- Identificar en las distintas fuentes de información datos personales y potenciales datos personales.
- Gubernar los datos y tener claridad entre las distintas fuentes de información, niveles de acceso y los distintos niveles de datos que existen en mi empresa.
- Proteger los datos a través de políticas de protección de datos como seudonimización, anonimización y cifrado.
- Auditar la utilización de los datos personales y demonstrar que los datos personales no estan en riesgo.
Fuentes:
Laws vs. Regulations: What’s the Difference?
The General Data Protection Regulation: What It Means and How SAS® Data Management Can Help
Data Analytics Senior Manager at MSD
4 añosBien claro Aquiles!! Desde su vigencia, alguna institución de Latam ha recibido alguna sanción por la GDPR?