Reglamento General de Protección de Datos

From Espanol ICANNWiki
Jump to: navigation, search

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) o Regulación (UE) 2016/679 [1] es una regulación diseñada para modernizar y armonizar las leyes de protección de datos a través de la Unión Europea (UE), dándole a los ciudadanos y residentes de la UE un control más estricto sobre sus datos y les provee a las empresas un marco regulatorio más consistente. [2] Este nuevo marco regulatorio de protección de datos de la Unión Europea reemplazará la Directiva de Protección de Datos, o Directiva 95/46/EC de 1995. El aplicación del GDPR empieza a regir desde el 25 de mayo del 2018 .[3]

GDPRTimeline.png

El GDPR dispone obligaciones legales especificas tanto para los 'controladores' y 'procesadores', aquellos que actúan como intermediarios entre los usuarios/consumidores y ellos, el gobierno y cualquier otro actor. El controlador determina cómo y por qué los datos son procesados y los procesadores actúan en nombre de los controladores. Éstos mantienen el registro de los datos y son tenidos como responsables en caso de un incidente. Con la actualización de la legislación existente, el GDPR es más preciso e incluyente en lo que concierne a la información catalogada como privada que su antecesor. Datos personales, siendo todo por lo cual se puede identificar un usuario, incluyendo una dirección IP, así como 'datos personales sensibles' que pueden incluir datos genéticos y biomédicos.

Aplicación y alcance[edit | edit source]

Bajo la Directiva de Protección de Datos de 1995 solo aplicaba a empresas con establecimientos legales en países de la UE o use equipos localizados en el país donde se procesaban los datos. El GDPR expande su alcance territorial para incluir a los controladores y procesadores fuera de la UE para actividades de procesamiento de datos hasta el ofrecimiento de bienes y servicios para individuos en la UE o para monitorear sus comportamientos.[4]

Alcance territorial extendido (aplicación extraterritorial)[edit | edit source]

El mayor cambio del marco legal en cuanto a privacidad de los datos es la jurisdicción extendida del GDPR, en la medida en que aplica al procesamiento de datos personales de los ciudadanos residentes en el territorio de la Unión Europea, independientemente de la localización de la empresa. Anteriormente, la aplicación territorial de la directiva era ambigua y se refería al procesamiento de datos ‘en el contexto del establecimiento comercial’. Este tema ha derivado en un alto número de casos de gran relevancia en estrados judiciales. El GPDR hace su aplicabilidad muy clara – aplicará al procesamiento de datos personales por parte de los controladores y procesadores en la UE, independientemente de si el procesamiento se realiza en la UE o no. El GDPR también aplica al procesamiento de datos personales de ciudadanos de la UE por parte de los controladores y procesadores que no estén en el territorio de la UE, cuando sus actividades se refieran a ofrecer bienes y servicios a ciudadanos de la Unión (con independencia de si el pago por éstos es requerido) y al monitoreo de su comportamiento que tenga lugar en la UE. Para los procedimientos de procesamiento que sean llevados a cabo por parte de empresas que no tengan establecimiento comercial deberán nombrar un representante en la UE.

Penalidades[edit | edit source]

Bajo el GDPR, cualquier infracción a las disposiciones del mismo se pueden penalizar con una multa del 4% de la facturación anual de la empresa o el valor de 20 millones de euros (según la suma que sea mayor). Este es el límite de las multas que se pueden imponer para las infracciones más serias, por ejemplo, no tener el consentimiento suficiente por parte del cliente cuando se trata de procesar sus datos o cuando se viola el centro del concepto de Privacidad por Diseño. El GDPR tiene una aproximación escalonada de las multas, por ejemplo, una compañía puede ser multada con el 2% de su facturación anual si no tiene sus récords en orden (según el artículo 28), por no notificar a la autoridad supervisora y al titular del dato sobre una violación o por no conducir las evaluaciones de impacto. Es importante resaltar que estas reglas aplican a los controladores y a los procesadores – significando que las 'nubes' no están exentas del cumplimiento del GDPR.

Consentimiento[edit | edit source]

Las condiciones del consentimiento fueron fortalecidas y las compañías ya no podrán usar términos largos e ilegibles y condiciones llenas de jerga legal, ya que el requisito del consentimiento debe ser dado de una forma accesible e inteligible con el propósito de procesar los datos adjuntos al consentimiento. Éste debe ser claro y distinguible de otras cuestiones y debe ser provisto de forma accesible e inteligible usando lenguaje claro y llano. Debe ser fácil otorgarlo como retirarlo

Derechos del titular de los datos[edit | edit source]

En cuanto a los derechos que se plasman en el Reglamento, las modificaciones a los mismos se encuentran a continuación.

Violación de la notificación: Bajo el GDPR, la violación a las notificaciones es de carácter obligatorio para todos los Estados Miembro donde alguna violación a los datos pueda resultar en “resulta en un riesgo para los derechos y libertades del individuo”. Esto debe ser realizado dentro de las 72 horas después de haber sido consciente de la violación. Los procesadores de datos También requerirán notificar a los clientes, controladores ‘sin un retraso injustificado’ después de haber sido consciente de la violación.

Derecho de acceso: Parte de los derechos extendidos de los titulares de los datos desarrollados en el GDPR es el derecho de los titulares a obtener confirmación por parte del controlador sobre si sus datos personales están siendo procesados al igual que el lugar y el propósito del tratamiento. Incluso, el controlador debe proveer una copia de los datos sin costo para el usuario en formato electrónico. Este cambio es un giro dramático hacia a transparencia de los datos y el empoderamiento del titular.

Derecho al olvido: También conocido como supresión de datos, el derecho al olvido le da la potestad al titular de los datos de hacer que el controlador de datos borre sus datos personales, cese toda divulgación o diseminación de los mismos y potencialmente que terceras partes paren el procesamiento de los datos. Las condiciones para la eliminación de los datos, desarrolladas en el artículo 17, incluyen que los datos sean irrelevantes para el propósito inicial del procesamiento, o que el titular de los datos retire su consentimiento del tratamiento. Este derecho requiere que el controlador del dato compare los derechos del titular con “el interés público de la disponibilidad de los datos” cuando sean consideradas dichas peticiones.

Portabilidad de los datos: El GDPR introduce el concepto de la portabilidad de los datos – como el derecho que el titular reciba los datos concernientes a su persona, los cuales ha proveído con anterioridad en un ‘formato de uso común y legible por maquinas’ y tener la facultad de transferir sus datos a otros controladores.

Privacidad por diseño: Este concepto ha existido en el mundo informático desde hace varios años, sin embargo, hasta ahora se introduce como un requisito legal y reglamentario dentro de la normatividad europea de protección de datos. Su objetivo es la inclusión de la protección de datos desde la aparición de los sistemas de diseño, en vez de su adicción. Mas específicamente- ‘El controlador debe... implementar medidas técnicas y organizacionales apropiadas...de manera efectiva... para cumplir los requerimientos de la regulación y proteger al titular de los datos’. El artículo 23 solicita que los controladores procesen y tengan los datos absolutamente necesarios para el cumplimiento de sus deberes (minimización de datos) así como limitar el acceso a los datos personales para la actuación de terceros.

Oficial de protección de datos (DPO, de acuerdo con sus siglas en ingles)[edit | edit source]

Actualmente, los controladores son obligados a notificar las actividades de procesamiento de datos con los DPA (Data Protection Authorities) locales, los cuales para las multinacionales puede ser desgastante debido a las diferencias en los procedimientos de notificaciones. Bajo el GDPR no será necesario presentar notificaciones o registros de las actividades de proceso de datos de cada DPA (Data Protection Authorities) local, como tampoco será necesario notificar u obtener aprobación de la transferencia basada en las Cláusulas Contractuales Modelo (MCCs). En vez de ello, habrá requerimientos de recordatorios internos y el nombramiento del DPO será obligatorio solo para aquellos controladores y procesadores cuyas actividades principales consisten en operaciones de procesamiento que requieren monitoreo sistemático y regular a gran escala por parte del titular de los datos o categorías especiales de datos o datos relacionados con delitos.

El DPO debe:

  1. Deben ser provistos de una base de cualidades profesionales y particularmente de conocimiento experto en leyes de protección de datos y practicas asociadas a las mismas
  2. Pueden ser miembros del staff
  3. Datos de contacto deben ser proveídos por los DPA (Data Protection Authorities) relevantes
  4. Deben ser proveídos con recursos apropiados para llevar a cabo sus tareas y mantener el conocimiento experto
  5. Deben reportar a la más alta administración
  6. No deben llevar a cabo otras tareas que puedan resultar en un conflicto de intereses

GDPR y WHOIS[edit | edit source]

El GDPR tiene incidencia directa sobre los nombres de dominio, más notablemente sobre el servicio del WHOIS. Antes de la fecha de entrada en vigencia del GDPR, las partes contractuales de ICANN (Registros y Registradores) expresaron su preocupación acerca del cumplimiento con sus requerimientos contractuales y para cumplir con las disposiciones del GDPR. A la luz de esto, esta preocupación e incertidumbre alrededor de las implicaciones del GDPR sobre el WHOIS, ICANN anunció que va a aplazar las acciones contra los registros y registradores que no cumplan con el registro de los datos.[5]

Referencias[edit | edit source]