Home / Tecnología / ¿WTF es GDPR? | TechCrunch

¿WTF es GDPR? | TechCrunch

Los legisladores de la UE propusieron una actualización exhaustiva de las normas de protección de datos y privacidad del bloqueo en 2012.

Su objetivo: tener en cuenta los cambios sísmicos en la gestión de la información causada por El auge de la economía digital en los años siguientes se escribió en el régimen anterior, allá por 1995, cuando Yahoo estaba a la vanguardia y las galletas seguían siendo galletas sabrosas.

Aquí está el cuerpo ejecutivo de la UE, la Comisión, que resume el objetivo:

El objetivo de este nuevo conjunto de reglas es devolver a los ciudadanos el control sobre datos personales y simplificar el entorno regulatorio para las empresas. La reforma de la protección de datos es un factor clave para el mercado único digital que la Comisión ha priorizado. La reforma permitirá a los ciudadanos y las empresas europeos beneficiarse plenamente de la economía digital.

Para una tesis aún más corta, la teoría de la CE es que la confianza del consumidor es esencial para promover el crecimiento en la economía digital. Y cree que se puede ganar confianza al brindarles a los usuarios de servicios digitales más información y más control sobre cómo se usan sus datos. Lo que es, francamente, una idea bastante refrescante cuando se considera la intermediación de datos clandestinos que impregna la industria de la tecnología. La vigilancia masiva no es solo algo que hacen los gobiernos.

El Reglamento general de protección de datos (conocido como GDPR) se acordó después de más de tres años de negociaciones entre las diversas instituciones de la UE

. bloque desde el 25 de mayo de 2018. Esto significa que los países de la UE se comprometen a transponerlo a la legislación nacional a través de sus propias actualizaciones legislativas (como la nueva Ley de Protección de Datos del Reino Unido, sí, a pesar de que el país se encuentra actualmente al borde de (br) salir de la UE, el gobierno, sin embargo, se comprometió a implementar la regulación porque es necesario que los datos EU-UK fluyan libremente en el futuro post-brexit, lo que proporciona una indicación temprana de poder de atracción de la GDPR.

La UE es bombardeada con anuncios de una industria artesanal recientemente renovada de "asesores de privacidad" que les ofrecen ayuda para prepararse para la nueva cambio de una tarifa de servicio. Soy una firma de abogados que se especializa en protección de datos.

La GDPR es una pieza legislativa significativa cuyo impacto total claramente requerirá tiempo para sacudirse. Mientras tanto, aquí está nuestra guía principal pali cambios en los próximos y algunos posibles impactos.

Protección de datos + dientes

Un punto importante es que el GDPR no se aplica solo a las empresas de la UE; cualquier entidad que procese datos personales de ciudadanos de la UE debe cumplir. Facebook, por ejemplo, una compañía de EE. UU. Que maneja grandes cantidades de datos personales de europeos, tendrá que volver a procesar múltiples procesos comerciales para cumplir con las nuevas reglas. De hecho, ha estado trabajando en esto durante mucho tiempo.

El año pasado, la compañía nos contó que reunió "el equipo interfuncional más grande" en la historia de su familia de compañías para respaldar el cumplimiento de GDPR, especificando que esto incluía ejecutivos "senior" de todos los equipos producto, diseñadores y experiencia del usuario / ejecutivos de pruebas, ejecutivos de políticas, abogados y ejecutivos de cada una de las familias de compañías de Facebook.

"Decenas de personas en Facebook Irlanda está trabajando a tiempo completo en este esfuerzo", dijo, y señaló que el equipo de protección de datos en su sede europea (en Dublín) , Irlanda) crecerá un 250% en 2017. También afirmó que estaba contratando a un "oficial de protección de datos de alta calidad", una posición en la que parece que la empresa todavía está respondiendo preguntas

Las nuevas normas de la UE requieren organizaciones para designar a un oficial de protección de datos si procesan datos sensibles a gran escala (que Facebook deja muy claro). O están recopilando información sobre muchos consumidores, por ejemplo, realizando un monitoreo conductual en línea. Pero, realmente, ¿qué empresas en línea no hacen en estos días?

El alcance extraterritorial del GDPR establece a la Unión Europea como un pionero mundial en la protección de datos, y algunos expertos legales sugieren que la regulación obligará a que aumenten los estándares de privacidad Incluso fuera del ; UE.

Por supuesto, algunas compañías estadounidenses pueden preferir eludir las complicaciones y los costos de la fragmentación de sus procesos de gestión de datos y procesar los datos personales obtenidos de diferentes áreas geográficas de forma diferente, es decir, en lugar de simplificar todo de acuerdo con un proceso conforme a GDPR. . Pero hacerlo significa gestionar múltiples regímenes de datos. Y, como mínimo, existe el riesgo de una mala reputación pública si propone intencionalmente un nivel de privacidad más bajo para los usuarios domésticos que para los clientes en el extranjero.

En última instancia, podría ser más fácil (y menos arriesgado) para las empresas tratar el GDPR como el nuevo "estándar de oro" de cómo manejan todos los datos personales independientemente de dónde provengan.

Y aunque no todas las empresas recopilan datos personales de Facebook, casi todas las empresas recopilan algunos datos personales. Entonces, para aquellos con clientes en la UE, el GDPR no puede ser ignorado. Como mínimo, las empresas deberán llevar a cabo una verificación de datos para comprender sus riesgos y responsabilidades.

Los expertos en privacidad sugieren que el gran cambio aquí es sobre la aplicación. Porque aunque la UE ha establecido estándares y normas de protección de datos y considera la privacidad como un derecho fundamental, sus reguladores no han tenido los dientes para exigir el cumplimiento.

Pero ahora, bajo GDPR, las sanciones financieras por violaciones a la protección de datos aumentan enormemente.

La multa máxima por la cual las organizaciones pueden verse afectadas por las violaciones más graves de la regulación es el 4% de su facturación anual global (o 20 millones de euros, el que sea mayor). Aunque las agencias de protección de datos naturalmente podrán imponer multas aún más pequeñas. Y, de hecho, existe un sistema de multas en múltiples niveles, con un nivel más bajo de sanciones de hasta el 2% de la facturación global (o 10 millones de euros).

Esto es realmente un gran cambio. Porque aunque las agencias de protección de datos (DPA) en diferentes Estados miembros de la UE pueden imponer sanciones financieras por violaciones de las leyes de datos existentes, estas multas son relativamente pequeñas, en particular, contra los ingresos de entidades del sector privado que ellos son sancionados

En el Reino Unido Por ejemplo, la Oficina del Comisionado de Información (ICO) actualmente puede imponer una multa máxima de solo £ 500,000. Compárelo con los ingresos anuales del gigante tecnológico de Google (~ $ 90BN) y podrá ver por qué se necesita un dispositivo mucho más grande para los controladores de datos.

No es necesariamente el caso de que los Estados miembros individuales de la UE obtengan leyes de privacidad más fuertes como consecuencia de la GDPR (en algunos casos, los países probablemente tengan estándares más altos en su legislación nacional). Pero reforzar las medidas implementadas en el nuevo régimen significa que hay mejores oportunidades para que las APD comiencen a ladrar y morder como verdaderos perros guardianes.

El GDPR al inflar los riesgos financieros en la administración de datos personales, naturalmente, debe elevar los estándares, ya que las leyes de privacidad son repentinamente mucho más caras de ignorar.

Otros tipos de datos personales que son útiles para administrar

Entonces, ¿cuáles son los datos personales bajo GDPR? Esta es toda información relacionada con una persona identificada o identificable (en sujetos reguladores, las personas se conocen como "personas interesadas").

Mientras que "procesamiento" puede significar cualquier operación realizada en datos personales, desde el almacenamiento hasta la estructuración hasta sus modelos IA de alimentación. (El GDPR también incluye algunas disposiciones específicamente relacionadas con las decisiones generadas como resultado del procesamiento automatizado de datos, pero más sobre esto a continuación).

Una nueva disposición se refiere a los datos personales de los niños, con la regulación que establece un límite de edad de 16 años en la capacidad de los niños para permitir el procesamiento de sus datos. Sin embargo, los Estados miembros individuales pueden elegir (y algunos tienen) derogar al escribir un límite de edad por debajo de sus leyes.

El GDPR establece un límite a la edad de 13 años, asegurándose de que el estándar de facto para los niños pueda suscribirse a los servicios digitales. Por lo tanto, el impacto en los hábitos de las redes sociales de los jóvenes parece ser relativamente limitado.

Las nuevas reglas generalmente amplían la definición de datos personales, por lo que pueden incluir información como datos de ubicación, identificadores en línea (como direcciones IP) y otros metadatos. Entonces, nuevamente, esto significa que las empresas realmente necesitan realizar una verificación para identificar todos los tipos de datos personales que poseen. La ignorancia no es compatible.

GDPR también fomenta el uso de seudonimización (como el cifrado de datos personales y el cifrado de la clave de cifrado por separado y de forma segura), como una técnica pro-privacidad y pro-seguridad que puede ayudar para minimizar los riesgos del procesamiento de datos personales. Aunque los datos pseudonimizados aún se consideran datos personales; ciertamente donde el riesgo de reidentificación permanece. Por lo tanto, no obtiene un cambio general de los requisitos establecidos por la regulación.

Los datos deben ser verdaderamente anónimos para no caer dentro del alcance de la regulación. (Y ver cuántas veces se ha comprobado que los conjuntos de datos "anónimos" son identificables, confiar en que cualquier proceso de anonimización sea lo suficientemente robusto como para tener cero riesgos de reidentificación parece, bueno, arriesgado)

Las reglas de protección de datos entrantes se aplican tanto a los controladores de datos (por ejemplo, las entidades que determinan el propósito y los medios de procesamiento de los datos personales) como a los controladores de datos. (entidades responsables del procesamiento de los datos en nombre de un controlador de datos, es decir, subcontratistas

De hecho, los controladores de datos tienen algunas obligaciones de cumplimiento directo en virtud del GDPR, y también pueden considerarse igualmente responsable de las violaciones de datos, con las personas capaces de presentar demandas de indemnización directamente en contra de ellos y las autoridades de protección datos que pueden imponer multas u otras sanciones.

Entonces, la intención de la regulación es que no haya inconvenientes de responsabilidad a lo largo de la cadena de subcontratistas de gestión de datos. GDPR tiene como objetivo garantizar que cada enlace en la cadena de procesamiento sea robusto.

Para las empresas que dependen de muchos subcontratistas para gestionar las operaciones de datos en su nombre, es evidente que se debe realizar una gran cantidad de evaluaciones de riesgos.

Como en el caso anterior, existe cierta libertad para los Estados miembros de la UE en la forma en que implementan ciertas partes del reglamento (como en la edad de consentimiento para la información de niños).

Los grupos de protección al consumidor piden al gobierno británico que incluya, por ejemplo, una disposición opcional del GDPR sobre la corrección de datos colectivos en su proyecto de ley DP, un llamado que el gobierno ha rechazado hasta ahora.

Pero el objetivo más amplio es que el reglamento armonice las normas de protección de datos en todos los Estados miembros en la medida de lo posible para reducir la carga regulatoria sobre las empresas digitales que operan en torno al bloqueo.

Sobre compensación de datos, Max Schrems, un activista de privacidad europeo, famoso por su desafío legal a las prácticas de vigilancia masiva del gobierno de EE. UU. Que dio lugar a un acuerdo de transferencia de datos de 15 años entre la UE y Estados Unidos, que fue derribado en 2015, está llevando a cabo actualmente una campaña de crowdfunding para crear una organización sin fines de lucro para la aplicación de la privacidad a fin de explotar las nuevas reglas y perseguir litigios estratégicos sobre cuestiones de privacidad comercial.

Schrems argumenta que simplemente no es viable que las personas traigan gigantes tecnológicos a los tribunales para tratar de hacer valer sus derechos de privacidad, por lo que cree que hay una brecha en el panorama regulatorio para una organización experimentada que trabaja para cuenta de un ciudadano de la UE. No solo persiguiendo disputas estratégicas en interés público, sino también promoviendo las mejores prácticas en el sector.

El cuerpo de reparación de datos propuesto – llamado noyb; abreviatura de: "ninguno de su negocio" – fue posible porque GDPR permite la aplicación colectiva de derechos de datos personales. Y ese arreglo podría ser crucial para convertir un centro de gravedad alrededor de la aplicación de la ley. Porque a pesar de la posición y el rol de las APD reforzadas por el GDPR, estos organismos aún tendrán recursos limitados en comparación con el propósito de la tarea de supervisión en cuestión.

Es posible que algunos ni siquiera tengan el apetito de asumir el rol de un perro guardián completamente colmilludo. Por lo tanto, los grupos de consumidores y la privacidad de la campaña ciertamente podrían ayudar a recolectar cada aflojamiento.

Privacidad para el diseño y la privacidad de forma predeterminada

Otro cambio importante que se produce a través de GDPR es la "privacidad por diseño" que ya no es solo una buena idea; La privacidad por diseño y privacidad se convierten por defecto en requisitos legales estrictos.

Esto significa que los controladores de datos están obligados a minimizar el procesamiento de datos personales limitando la actividad solo a lo que es necesario para un propósito específico, llevando a cabo evaluaciones del Impacto en la privacidad y mantenimiento de registros actualizados para demostrar su cumplimiento

Los requisitos de consentimiento para el procesamiento de datos personales también se refuerzan considerablemente según el GDPR, lo que significa que los términos y condiciones largos e inescrutables pueden no serlo. ser usable (Y ciertamente hemos visto muchas cosas infernales en tecnología.) La idea central es que el consentimiento debe ser un proceso continuo y activamente administrado;

Como dice la ICO del Reino Unido, el consentimiento bajo el GDPR para el procesamiento de datos personales significa ofrecer a los individuos "una elección y control genuinos" (para datos personales sensibles que la ley todavía requiere uno) estándar superior) de consentimiento explícito

Existen otras bases legales para el procesamiento de datos personales bajo el GDPR, como la necesidad contractual; o cumplimiento de una obligación legal en virtud de la legislación de la UE o los Estados miembros; o para actividades llevadas a cabo en interés público, por lo que no es necesario obtener el consentimiento para procesar los datos personales de otra persona. Pero siempre debe haber una base legal apropiada para cada tratamiento.

La transparencia es otra obligación importante del GDPR, que amplía la noción de que los datos personales deben procesarse legal y correctamente para incluir un tercer principio de responsabilidad. De ahí el énfasis en los controladores de datos que necesitan comunicarse claramente con las partes interesadas, por ejemplo informándoles sobre el propósito específico del procesamiento de datos.

La obligación de los administradores de datos de mantener registros escrupulosos de la información que poseen, de lo que están haciendo con ella y de cómo se procesan legalmente, también se trata de demostrar el cumplimiento de los principios. procesamiento de datos GDPR.

Pero, con respecto a los controladores de datos, GDPR elimina la obligación de enviar notificaciones a las DPA locales sobre el procesamiento de datos. En cambio, las organizaciones deben mantener registros internos detallados, que un supervisor siempre puede pedir ver.

También vale la pena señalar que las empresas que procesan datos a través de las fronteras de la UE pueden ser controladas por las autoridades de protección de datos en varios Estados miembros si tienen usuarios (y están procesando sus datos) personal). Aunque el GDPR establece un llamado principio de ventanilla única, debe haber una DPA "guía" para coordinar la supervisión entre cualquier DPA "afectada": esto no significa que una vez que se haya aplicado un operador fronterizo europeo, como Facebook, solo responderá a las preocupaciones del DPA irlandés.

De hecho, las tácticas de Facebook de reclamar estar bajo la jurisdicción de un solo DPA de la UE parece ser prestado. Y el acuerdo de ventanilla única en el GDPR se parece más a establecer un mecanismo de cooperación para permitir que más DPA trabajen juntas en los casos en que tienen preocupaciones comunes. En lugar de ofrecer una forma para que las empresas multinacionales hagan "compras en el foro", lo que el reglamento no permite (para las indicaciones del WP29).

Otro cambio: las políticas de privacidad que contienen frases vagas como "Podemos usar su información personal para desarrollar nuevos servicios" & # 39; Podemos usar sus datos personales para fines de investigación & # 39; No pasaremos el recurso al nuevo régimen, por lo que una reescritura global de términos y condiciones vagas y / o confusas es algo que los europeos pueden esperar este año

y cualquier cambio en las políticas de privacidad debe ser comunicado claramente al usuario de manera continua, lo que significa que ya no hay referencias en la declaración de privacidad que indiquen a los usuarios que "verifiquen regularmente los cambios o actualizaciones", lo que no será factible. [19659003] La carga recae firmemente en el controlador de datos para mantenerlo completamente informado de lo que se hace con su información (lo que implica que casi una buena práctica de protección de datos podría terminar para parecerse a un poco de spam, por un usuario de PoV)

La intención general detrás de GDPR es inculcar un cambio en la perspectiva de toda la industria sobre quién "posee" los datos del usuario – Desentrañar a las empresas del concepto de que la información personal de otras personas les pertenece solo porque están en sus servidores.

"Las organizaciones deben reconocer que no existen para procesar datos personales, sino que procesan datos personales para hacer negocios", como lo resume el analista Bart Willemsen, director de investigación de Gartner. "Cuando hay una razón para procesar datos, no hay problemas, donde la razón finaliza, también debe procesarse".

El rol del Oficial de Protección de Datos (DPO) que introduce GDPR como requisito para muchos administradores de datos, está destinado a ayudarlos a garantizar el cumplimiento.

Este oficial, que debe informar al más alto nivel de gestión, tiene la intención de operar independientemente dentro de la organización, con advertencias para evitar una cita interna que podría generar un conflicto de intereses.

¿Qué tipos de organizaciones enfrentan el mayor riesgo de responsabilidad bajo GDPR? "Aquellos que parecen pensar deliberadamente que los derechos de protección de la privacidad son inferiores a los intereses corporativos", dice Willemsen, y agrega: "Un ejemplo reciente sería Uber, regulado por la FTC y sancionado para someterse a 20 años de auditoría. de similar, o incluso más, de una sanción financiera única. "

" Al final, GDPR es como un límite de velocidad: no hacer dinero con aquellos que aceleran, sino para evitar que la gente acelere demasiado, para evitar accidentes (en la privacidad) ", agrega.

Otro derecho al olvido

Según GDPR, las personas que han prestado su consentimiento para el procesamiento de sus datos personales también tienen un conjunto de derechos asociados, incluido el derecho de acceso a los datos celebrado en ellos (debe proporcionarse una copia de los datos de forma gratuita, generalmente en el plazo de un mes a partir de la solicitud); el derecho de solicitar la corrección de datos personales incompletos o inexactos; el derecho a cancelar sus datos (otro llamado "derecho al olvido" – con algunas excepciones, como el ejercicio de la libertad de expresión y la libertad de información); el derecho de limitar el procesamiento ; derecho a la portabilidad de datos (cuando corresponda, los datos personales de un sujeto de datos deben proporcionarse de forma gratuita y de forma estructurada, de uso común y leídos por una máquina).

Sobre Willian Delgado

Check Also

Entrepreneur First, el constructor de la compañía con el apoyo de Greylock, aterriza en Bangalore – TechCrunc …

Entrepreneur First (EF), la compañía con sede en Londres que invierte en personas de "pre-equipo, …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: