Cambios clave GDPR

Cambios clave GDPR

Una visión general de los principales cambios bajo GDPR y cómo difieren de la directiva anterior

El objetivo del GDPR es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos en un mundo cada vez más basado en datos que es muy diferente del momento en que se estableció la directiva de 1995. Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias; los puntos clave del GDPR, así como la información sobre los impactos que tendrá en los negocios se pueden encontrar a continuación.

Cambios clave GDPR
Cambios clave GDPR

Mayor alcance territorial (aplicabilidad extraterritorial)

Podría decirse que el mayor cambio en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del GDPR, ya que se aplica a todas las empresas que procesan datos personales de personas que residen en la Unión, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos ‘en el contexto de un establecimiento’. Este tema ha surgido en una serie de casos judiciales de alto perfil. GDPR hace que su aplicabilidad sea muy clara: se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no. El GDPR también se aplicará al procesamiento de datos personales de los interesados ​​en la UE por parte de un controlador o procesador no establecido en la UE, donde las actividades se relacionan con: ofrecer bienes o servicios a los ciudadanos de la UE (independientemente de si se requiere o no un pago) y el control del comportamiento que tiene lugar dentro de la UE. Las empresas ajenas a la UE que procesan los datos de ciudadanos de la UE también deberán nombrar un representante en la UE.

Sanciones

En virtud de las organizaciones del GDPR que infrinjan el GDPR, se les puede imponer una multa de hasta el 4% de la facturación mundial anual o € 20 millones (el que sea mayor). Esta es la multa máxima que puede imponerse para las infracciones más graves, ya que no se cuenta con el consentimiento suficiente del cliente para procesar los datos ni violar el núcleo de los conceptos de Privacidad por Diseño. Existe un enfoque escalonado de multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden (artículo 28), no notificar a la autoridad supervisora ​​y el sujeto de datos sobre una infracción o no llevar a cabo una evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las ‘nubes’ no estarán exentas de la aplicación de GDPR.

Consentimiento

Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones ilegibles largos llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser lo más fácil de retirar su consentimiento, ya que es para darle.

Sujeto de datos Derechos

Bajo el GDPR, la notificación de incumplimiento será obligatoria en todos los estados miembros donde una violación de datos probablemente «genere un riesgo para los derechos y libertades de las personas». Esto debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes, los controladores, «sin demora indebida» después de conocer por primera vez una violación de datos.

Derecho de acceso

Parte de los derechos ampliados de los sujetos de datos esbozados por el GDPR es el derecho de los interesados ​​a obtener de la confirmación del controlador de datos si los datos personales que los conciernen se están procesando, dónde y con qué fin. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Este cambio es un cambio dramático hacia la transparencia de los datos y el empoderamiento de los interesados.

Derecho a ser olvidado

También conocido como borrado de datos, el derecho a ser olvidado le da derecho a que el responsable del tratamiento borre sus datos personales, cese la diseminación de los datos y, potencialmente, haga que terceros detengan el procesamiento de los datos. Las condiciones para borrado, como se describe en el artículo 17, incluyen que los datos ya no son relevantes para los propósitos originales para el procesamiento, o que los sujetos de datos retiren el consentimiento. También se debe tener en cuenta que este derecho requiere que los controladores comparen los derechos de los sujetos al «interés público en la disponibilidad de los datos» al considerar tales solicitudes.

Portabilidad de datos

GDPR introduce la portabilidad de datos: el derecho de un sujeto de datos a recibir los datos personales que le conciernen, que previamente han proporcionado en un »y tienen derecho a transmitir esos datos a otro controlador.

Privacidad por diseño

La privacidad por diseño como concepto ha existido desde hace años, pero solo se está convirtiendo en parte de un requisito legal con GDPR. En esencia, la privacidad por diseño exige la inclusión de la protección de datos desde el inicio del diseño de los sistemas, en lugar de una adición. Más concretamente: «El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas … de manera efectiva … para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados». El artículo 23 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), y que limiten el acceso a los datos personales a quienes necesitan representar el procesamiento.

Oficiales de Protección de Datos

Actualmente, los controladores están obligados a notificar sus actividades de procesamiento de datos a las APD locales, lo que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR no será necesario enviar notificaciones / registros a cada DPA local de actividades de procesamiento de datos, ni será un requisito notificar / obtener aprobación para transferencias basadas en las Cláusulas de Contrato Modelo (MCC). En su lugar, habrá requisitos internos de mantenimiento de registros, como se explica más adelante, y el nombramiento de DPO será obligatorio solo para aquellos controladores y procesadores cuyas actividades centrales consisten en operaciones de procesamiento que requieren un monitoreo regular y sistemático de datos a gran escala o de especial categorías de datos o datos relacionados con condenas y delitos penales.

Debe nombrarse en función de las cualidades profesionales y, en particular, de los conocimientos especializados sobre legislación y prácticas de protección de datos
Puede ser un miembro del personal o un proveedor de servicios externo
Los datos de contacto se deben proporcionar al DPA relevante
Debe contar con los recursos adecuados para llevar a cabo sus tareas y mantener su conocimiento experto
Debe informar directamente al más alto nivel de gestión
No debe llevar a cabo cualesquiera otras tareas que podrían da como resultado un conflicto de intereses.

Opinión Personal

La cuestión es joder a los webmasters, como todo, joder a los que cumplen la ley, hay miles, diría que millones de webs que son ilegales, pero en vez de intentar terminar con ellas, es mejor recaudar con las leyes, es decir, robar legalmente, si no cumples, pagas, así funciona todo en esta vida, o eres un pirata total y pasas de todo, o te tienes que adaptar a todas las tonterías que ellos te pongan, como siempre tienen mucho tiempo libre y lo emplean en este tipo de cosas, como si no hubiera cosas más importantes, en fin, es solo una opinión personal y por supuesto hay que cumplir las leyes, aquí estamos haciendo lo que podemos… Politicas de privacidad, GDPR, a ver que será lo próximo… acabar con el terrorismo, amm no, eso no importa… o tal vez con los dineros que roban la mayoría de politicos… Lo dicho espero que nadie se ofenda con mis palabras, que seguramente si, así que como es una web personal y de desahogo, pues lo digo y ya.

Así que a cuidaros, a seguir haciendo SEO y mucha suerte con vuestros negocios. 😉

Deja un comentario