GDPR, General Data Protection Regulation for Dummies

GDPR, General Data Protection Regulation for Dummies

GDPR son las siglas de “General Data Protection Regulation” y nace en abril de 2016 en el Marco de la Unión Europea. Dicha es de obligado cumplimiento y su fecha límite es mayo de 2018. A su vez, en España, la agencia española de protección de datos está supervisando su cumplimiento y establece de puente con el Marco Europeo. En España no es extraño el hablar de Protección de Datos, tenemos anteriores marcos de referencia como la “LOPD” o la “LSSI”. Ambas quedan derogadas a favor de la GDPR.

European Flags

La Regulación es compleja, no se puede describir de otra manera, si bien es cierto el coste de su incumplimiento es todavía más complejo. Pudiendo llegar a multas de 20 millones de euros o el 4% del volúmen de negocio. Hay muchos informes que dicen que un ajustado 50% de las empresas creen estarán listas para poder aplicar dicha regulación.

Dicha regulación contempla, por ejemplo, el procesamiento de datos, de cualquier actividad, que traten con recolección, almacenamiento, edición, archivo, borrado y otros tipos de datos. Ya sean Tipos de datos personales o sensibles. En este caso desaparecen los tres niveles de datos, quedándose es datos “normales” o “sensibles”.

El espíritu de la regulación viene a establecer la privacidad de los datos como un derecho fundamental y su punto de partida o principal objetivo es almacenar la mínima cantidad de datos personales para así mitigar riesgos. No hace falta decir que su foco global es tecnológico, ya que no se podrá cumplir de otra manera con la GDPR.

Hagamos un resúmen de sus principales principios y/o premisas:

  • Procesamiento lícito, justo y transparente, para ello se deberán tener motivos válidos y claro, como a la vez, explícitos para poder procesar datos personales.
  • Limitación del objeto del tratamiento del dato, dichos datos personales deberán tener muy bien identificada la finalidad de la recolecta y, solo se podrán procesar para dicha finalidad.
  • Consentimiento expreso, como decíamos, se deberá haber obtenido un consetimiento explícito de los datos mediante una manifestación inequívoca del propietario de los mismos.
  • No más de lo necesario, el conjunto de los datos personales procesados deberan ceñirse a lo estríctamente especificado a lo necesario para su procesado. Es decir, para nada más.
  • Retención de datos controlada, solo podrán retenerse los datos durante el tiempo necesario para el objetivo principal, no más de lo necesario y tan específico como sea posible. Si no se puede ser específico se tendrá que proveer de criterios objetivos para poder definir cuando se podrán bloquear o borrar los mismos.
  • Integridad y confidencialidad, en todo momento debe poder garantizarse la integridad de los datos de carácter personal incluyendo la protección ante tratamientos que no estén expresamente autorizados.

Por encima de los puntos anteriormente comentados, hay tres principios todavía más básicos, seguramente no aplican todos; ya que depende mucho del modelo de negocio, son:

  • Derecho a la portabilidad de datos, en caso de cambios de proveedores y/o de servicios, se deberá disponer a las partes, sea entidad jurídica o no, de los datos recolectados para que estos puedan cederlo a un tercero, si procede.
  • Derecho al olvido o cancelación, en caso de petición, se deberá poder eliminar la información personal almacenada o procesada.
  • Notificadión de brechas de seguridad, en un plazo no superior a 72 horas se deberá comunicar la brecha de seguridad a los usuarios afectados y a la administración competente. En caso que durante éste período de tiempo se hayan podido subsanar las brechas de seguridad, podrá no reportarse al usuario pero si a la administración competente.

Hay que decir que la GDPR está enmarcada en un conjunto de estándares como por ejemplo son:

Algunas fuentes de datos recomendables:

Autor: Joakim Vivas

comments powered by Disqus