Saltar al contenido

GDPR: Lo único claro sobre la regulación es que no está claro

abril 20, 2021

Durante los últimos meses, he estado hablando con tantas empresas como sea posible sobre GDPR y el único tema que surge continuamente es que la regulación está abierta a interpretación y que la próxima ley no está clara sobre cómo lograr el cumplimiento. Uno debe preguntarse; si esta versión del Y2K en 2018, es un gran estímulo u otra forma para que los abogados ganen un montón de dinero. Para esto último, los abogados están ganando dinero, pero no por razones siniestras, están aquí para ayudarnos a interpretar una ley importante y que, de hecho, no está clara.

Si no ha leído el Reglamento general de protección de datos o el Reglamento, como se le conoce, son 11 capítulos, 99 artículos y 173 considerandos. Y todos ellos son confusos y, en algunos casos, contradictorios.

La ley se promulgó hace un par de años, pero ahora la Unión Europea y sus Estados miembros se están poniendo serios con países como Estados Unidos, un país donde la Unión Europea no cree que seamos lo suficientemente estrictos al procesar su datos privados del ciudadano.

La intención de GDPR es regular la recopilación, uso, almacenamiento, divulgación y procesamiento de información de identificación personal para una persona física. Un ciudadano europeo, también se conoce como persona física o sujeto de datos.

El artículo 1 establece:

  • A respeto los derechos y libertades fundamentales del interesado
  • Por asegurando un alto nivel de protección de datos
  • en un marco de referencia que se basa en control y certeza

Los controles y la certeza son una gran parte del Reglamento y si quita un punto de este artículo, por favor déjelo entender que cualquier empresa que esté procesando datos personales para los ciudadanos de la Unión Europea, debe cumplir con el Reglamento.

En el Reglamento, hay roles, como oficina de protección de datos (DPO), controlador de datos y procesador de datos y términos como, solicitud de acceso de sujeto (SAR), evaluación de impacto de privacidad de datos (DPIA) y acuerdo de procesamiento de datos (DPA).

Para hacer mi punto, hace un par de semanas, di una presentación a un grupo de CIO. En un momento, supe que había despertado un nervio, cuando cuarenta y cinco minutos después de la discusión, todavía estábamos en la diapositiva dos. La pregunta que causó tanta angustia fue: “¿Dónde debe ubicarse el ciudadano europeo para procesar información de identificación personal o PII?”

Entonces, volví a ver a mi oficial de protección de datos, que resulta ser mi principal asesor legal y le hice la pregunta una vez más. ¿Dónde debe estar realmente el ciudadano europeo y cómo sabe una empresa si debe cumplir con el Reglamento? Su respuesta para mí fue “depende”.

Muy bien, para aquellos de ustedes que estén confundidos, permítanme brindarles algunos ejemplos de cómo funciona GDPR y por qué su empresa debe prestar atención a esta regulación.

En mi empresa, ante todo, soy el CIO & CISO global, pero también tengo varios roles en equipos líderes que apoyan las actividades internas, donde uso el sombrero del controlador de datos y mis socios de recursos humanos son el procesador de datos. El procesamiento de datos de recursos humanos para los beneficios de atención médica, la contratación y el despido de empleados son ejemplos de PII. Como CIO, necesito asegurarme de que solo un número determinado de personas tengan acceso a los datos de RR.HH. y puedan procesarlos.

En este ejemplo, en mi papel como controlador, Trabajo en estrecha colaboración con los equipos internos y con nuestro Asesor Jurídico Jefe o el oficial de protección de datos (DPO). Junto con el DPO, nos aseguramos de que los requisitos del Reglamento están siendo seguidos, para que cumplamos con el Reglamento; Al hacerlo, nos aseguramos de que los datos estén protegidos y se utilicen de manera adecuada. Con la adición de estos controles, estamos minimizando nuestro riesgo de ser sujetos a una multa o acusados ​​de daños cuando procesamos datos sobre nuestros empleados. Las multas por incumplimiento del Reglamento son de hasta 20 millones de euros o el 4% de los ingresos globales, lo que sea mayor.

En un 2Dakota del Norte ejemplo, en mi empresa, desde un punto de vista externo, nuestro equipo de ingeniería produce productos de procesamiento de datos, crear aplicaciones de cara externa, donde se procesan los datos para nuestros clientes. En este escenario, nuestro cliente actúa como controlador de datos para la PII de su cliente y mi empresa es el procesador de datos.

Déjame citar un ejemplo masy uno que pueda pertenecer a su negocio. Este ejemplo muestra la diferencia entre dónde se utilizan los servicios y dónde se produce el procesamiento. Un ciudadano de la UE va a Disney World en los EE. UU. Alquilan un automóvil con una empresa con sede en EE. UU. Y pagan en efectivo por el automóvil. No se ha realizado ningún procesamiento de PII, por lo tanto, GDPR no es aplicable aquí. Luego, este mismo ciudadano de la UE, lleva el coche a una gasolinera exclusiva de EE. UU. Y llena el depósito con su tarjeta de crédito de la UE. La estación de servicio no está preocupada por el RGPD, pero la compañía de la tarjeta de crédito sí, porque han procesado la PII para un ciudadano de la UE y el procesamiento de la compañía de la tarjeta de crédito ocurrió dentro de un estado miembro de la UE.

Como cualquier buena ley, siempre hay excepciones y GDPR no se aplica a organizaciones con menos de 250 empleados. Hay otras excepciones con respecto a las solicitudes oficiales y la información divulgada públicamente, pero no tendremos tiempo para repasar todos los matices en este breve artículo. Solo se que el El reglamento entra en vigor el 25 de mayoth de este año.

Si bien el Reglamento es actualmente específico de la Unión Europea, también puede allanar el camino para que otros países sigan su ejemplo con su propia iniciativa de cumplimiento. Entonces, prepararse ahora no es tan mala idea.

@ 2018 Todos los derechos reservados

Sue Bergamo es el CIO y CISO de Episerver, una empresa de comercio digital global. Puede ser contactada en sue.bergamo@episerver.com.

* El contenido de este artículo son opiniones exclusivas del autor.