A partir del 25 de mayo, si eres ciudadano europeo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos. 
Ese día entra en vigor en toda Europa una nueva ley: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos, aunque sean de Estados Unidos, como Google o Facebook.

¿Qué es RGPD?

RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.

Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.

De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.


¿A quién afecta GDPR?

Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.

Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.

Hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país.

“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones".


Hackeo: el CDO dentro de la Empresa

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. ¿Cuántas veces nos hemos enterado, incluso años después de que sucedieran, de incidentes de seguridad en diversas empresas?

Con la entrada en vigor de GDPR las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.

Las empresas, además, deberán tener un responsable de los datos si procesan datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud. 
 
Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés). Ya hemos visto que no todas las empresas deben tener uno, pero de haberlo se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la capacitación del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras. 

Consecuencias del incumplimiento del RGPD

Como decíamos al principio, las sanciones previstas por GDPR han sido uno de los temas más polémicos y controvertidos.

Las organizaciones pueden ser multadas con hasta el 4% de la facturación global anual por infringir GDPR o € 20 millones. Ésta es la multa máxima que se puede imponer por las infracciones más graves. Por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.
 

Existe un enfoque escalonado para multas. Así, una empresa puede recibir una multa del 2% de su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto.

NECESIDADES TECNOLOGICAS DEL RGPD

Sugerimos cuatro pasos a las empresas para demostrar que se tiene un enfoque basado en los riesgos adecuado con respecto a la protección de sus recursos online:
Si una empresa espera hasta que es atacada para responder a una nueva amenaza, será menos probable que se defienda adecuadamente. Los proveedores de seguridad que protegen a las empresas de todo el mundo son capaces detectar las amenazas en una ubicación y aplicar lo que aprenden al resto de clientes antes de que se produzca un nuevo ataque.
Si se produce una infracción de seguridad, la autoridad de protección de datos requerirá pruebas en las que se describan los pasos dados para reducir el impacto al mínimo. Por lo tanto, en el caso los recursos online resulta prioritario demostrar que la empresa cuenta con un firewall de aplicaciones eficaz que se actualiza constantemente para responder al panorama de amenazas en constante evolución.
Proporcionar acceso de terceros a las redes es una necesidad para las empresas, pero este acceso puede poner los datos personales y la seguridad general en riesgo. Por lo tanto, asegurarse de utilizar un sistema que permite realizar un seguimiento de los accesos a estas redes y mitigar los riesgos asociados a los no autorizados es imprescindible si las empresas quieren ser capaces de demostrar ante la autoridad de protección de datos que se han tomado las medidas necesarias.
Si la primera línea de defensa de una empresa se sitúa en el perímetro de la red, la amenaza está demasiado cerca para sentirse cómodo. Establecer una barrera, como una red de distribución de contenido (CDN), entre la infraestructura de la empresa y cualquier posible actor malintencionado, puede ayudar a detectar amenazas antes de que se conviertan en un problema, además de permitir a la empresa canalizar el tráfico en caso de ataques de denegación de servicio.
Puedes usar el siguiente enlace para comprobar si tu empresa cumple el RGPD
Test RGPD

15 años de experiencia nos avalan dando un servicio especializado en diferentes campos de la informática, siempre orientados a cubrir cualquier necesidad de nuestros clientes, asesorando siempre en los últimos avances tecnológicos.

Newsletter

Escribe aqui tu correo electrónico para estar al tanto de nuestras noticias.