¿Qué es la regulación GDPR y por qué debe importarte?
El próximo 25 de mayo entrará en vigor el Reglamento General de Protección de Datos de la Unión Europea mejor conocido como GDPR.
Esta nueva reglamentación establecerá nuevas reglas, más estrictas, en cuanto a la recolección, tratamiento y resguardo de datos personales en la red y si bien se trata de una iniciativa concebida en la Unión Europea, su implementación tendrá impacto global para los internautas pero en especial para aquellas empresas que tienen vínculos comerciales con Europa.
¿De dónde viene?
GDPR es el reemplazo de la Directiva Europea de Protección de Datos Personales, que desde 1995, dictó cómo deberían recolectarse y tratarse los datos personales de ciudadanos europeos en la red.
El nuevo reglamento fue aprobado en abril de 2016 y se ejecutará el próximo 25 de mayo de 2018. Una de las mayores diferencias con las reglas anteriores radica en el nombre, pues al ser una reglamentación y no una directiva, su aplicación no depende de modificaciones a la legislación de un país. Su aplicación será directa, según información de los sitios oficiales de la Unión Europea.
¿A quién afecta?
Las nuevas reglas aplicarán para todas las empresas y ciudadanos de la Unión Europea, además de las empresas que tengan intercambios comerciales con esta región o que recolecten, transporten o manipulen datos personales de algún ciudadano europeo en el mundo. La regulación incluye a proveedores de servicios de nube como Amazon Web Services y Azure de Microsoft.
Lee también: Casi la mitad de empresas mexicanas incumplen con ley de protección de datos
Sin embargo, de acuerdo con el documento de GDPR, aunque tiene un alcance más allá de territorio Europeo es de cada país dictar la forma de aplicar y convenir con el reglamento.
¿Si no cumplo?
Las sanciones por incumplimiento del GDPR son del pago de 4% de los ingresos anuales de la compañía o una multa de hasta 20 millones de euros. El artículo 28 del documento delinea una sanción menor de 2% de sus ingresos anuales, si las empresas no tienen en orden sus bases de datos.
¿Responsables?
Aunque esto depende del tipo de empresa y su volúmen de operación además de si son o no autoridades, el documento detalla, que las empresas deberán contar con Director de Manejo de Datos o Data Protection Officer.
Otras de las disposiciones de GDPR incluyen la obligación para las empresas de permitir a los ciudadanos que ejerzan el derecho al olvido (borrar completamente sus datos de internet), la opción de que otra empresas maneje sus datos personales o portabilidad de datos, además de darle a la gente la opción de elegir si quiere o no que una empresa tenga sus datos (opt in/ opt out)
Lee también: La Suprema Corte protege datos personales en Ley 3 de 3
El documento también obligará a las empresas a notificar a las autoridades en caso de experimentar algún tipo de robo de datos, en un margen de 72 horas posteriores al incidente.