GDPR: Un reglamento Europeo que afecta al mundo

Por: Diego Samuel Espitia *

La Unión Europea ha lanzado el Reglamento General de Datos Personales (GDPR) con el objetivo de que los ciudadanos de la comunidad europea tengan un mayor control sobre la gestión que se hace de sus datos personales a partir del 25 de mayo del 2018, cuando será de obligatorio cumplimiento para TODAS las empresas que gestionen o hagan tratamiento de información personas de cualquier ciudadano de la Unión Europea.

Aunque este reglamento es de cumplimiento obligatorio únicamente en Europa, va a cambiar la forma de trabajar de todas las empresas en el mundo que manejen, almacenen o utilice datos personales, sin importar si es de empleados, clientes, posibles clientes o proveedores, debido a que deben tener en cuenta el manejo de la privacidad como base fundamental del manejo de los datos personales.

Las áreas legales, de seguridad de la información y de control, deben validar como sus organizaciones hacen en este momento el procesamiento de los datos personales, para así determinar los cambios que se deben implementar para cumplir algunos derechos que pueden ser exigidos por los ciudadanos de la Unión Europea sobre sus datos personales, como son:

  • El derecho a ser informado
  • El derecho al acceso
  • El derecho de la rectificación
  • El derecho al borrado de datos
  • El derecho a restringir el procesamiento
  • El derecho de portabilidad de los datos
  • El derecho de objeción
  • Derecho en relación a la creación de perfiles y toma de decisiones automatizadas

Estos derechos suenan de simple implementación y en muchos casos se asume que ya se cumplen, sin embargo, el reglamento indica que cualquier reclamación se debe subsanar sin importar donde este la información, lo que hace que los controles deban ser estrictos en cuanto al manejo con terceras partes, donde se debe garantizar poder alterar o eliminar datos que ya no se encuentran bajo el control de las empresas.

Un ejemplo claro se ve en el  derecho a la rectificación, el cual le brinda la posibilidad al ciudadano de la UE de solicitar corrección a imprecisiones en la información contenida sobre ellos mismos, estas correcciones deben ser ejecutadas en un plazo máximo de 72 horas, en todos los documentos que contengan la imprecisión, sin importar dónde están, que puede ser en el contenido del correo electrónico, fotos, archivos pdf, bases de datos, archivos impresos, entre otros.

En la práctica esto genera que las áreas responsables de manejar datos dentro de una organización, sean digitales o físicos, deben tener claro el ciclo de vida de cada uno de los datos personales, teniendo en claro la fuente, las áreas que lo gestionan y terceros con quien se comparte, permitiendo una trazabilidad en tiempo real de cada dato personal y quien hizo su tratamiento en cada fase.

En esencia, esto obliga no solo a que las empresas de la unión europea tengan que cumplir este reglamento, sino que cualquier empresa en el mundo que sea proveedora o que tenga interacción de información con alguna empresa de la UE, tenga que empezar a ver como esto afecta a su negocio y a la posibilidad de mantener o generar negocios con Europa.

Empezando por plantearse las preguntas implícitas de cumplimiento del reglamento, como puede ser ¿Cree que los responsables de la seguridad de IT de su organización podrían informar de potenciales infracciones de datos a las autoridades pertinentes y a las personas afectadas en un plazo de 72 horas tras la detección? O preguntas con relación a nuevos procesos que se deben implementar en la organización, como puede ser ¿Sabía que deben llevarse a cabo evaluaciones de impacto en la protección de datos en las situaciones de alto riesgo?

  • Chief Security Ambassdor, ElevenPaths

 

 

 

  Share: