Ir al contenido principal

GDPR: NUEVA LEY DE PROTECCIÓN DE DATOS EN EUROPA

El Reglamento de Protección de Datos comenzó a regir el viernes 25 de mayo en Europa, estableciendo mayor control para los ciudadanos e importantes sanciones para las entidades que no garanticen la seguridad establecida.



El viernes 25 de mayo de 2018, entró en vigencia el nuevo Reglamento General de Protección de Datos Personales (en inglés, General Data Protection Regulation o “GDPR”), con el fin de devolverles a los ciudadanos europeos el control de sus datos personales. De todos modos, no posee impacto únicamente en Europa, sino que tiene implicaciones más amplias para las empresas de todo el mundo que procesan datos en dicho continente.

GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta Ley de protección de datos de 1995. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.

En España, la actual RGPD va a sustituir a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) aprobada por las Cortes Generales el 13 de diciembre de 1999.

En las últimas semanas, Google, Twitter, Facebook, Spotify, tiendas digitales, bancos, portales turísticos y muchos otros servicios, comenzaron a enviar correos electrónicos con novedades en sus términos y condiciones de servicio y políticas de privacidad.

La norma reconoce dos derechos que ya se encontraban dentro de las normativas europeas: por un lado, el “derecho al olvido", es decir, a la eliminación de datos propios en la web; por otro, el “derecho a la portabilidad de información”, esto es, la posibilidad para cada usuario de llevarse sus datos de una plataforma a otra.

Además del “derecho a ser olvidado”, la ley incluye disposiciones que potencialmente podrían aumentar los derechos de los consumidores sobre sus datos. Las leyes relativas a la libertad de expresión impedirán que “el derecho a ser olvidado” se extienda a los artículos de prensa. Más precisamente, los ciudadanos podrán solicitar que su nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web o redes sociales, información médica o una dirección IP sean eliminados cuando ya no sean necesarios, cuando se haya retirado el consentimiento y en los casos en los cuales se hayan recolectado de forma ilícita.

Esto implica, por ejemplo, que los usuarios abarcados por la GDPR deberán ser informados cuando sus datos queden expuestos en un cibercrimen. Por otro lado, también abarca el acceso a la posibilidad de corrección de los propios datos personales. 



Cronología

Para establecer una cronología del proceso para la aprobación de la GDPR, la cual se lanzó el 25 Enero de 2012, debemos contemplar:

·         21 de octubre de 2013: Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) tenía su voto de orientación.
·         15 de diciembre de 2015: Negociaciones entre Parlamento Europeo, Consejo y Comisión (tripartito) resultó en una propuesta conjunta.
·         17 de diciembre de 2015: La comisión LIBE del Parlamento Europeo votó positivamente sobre el resultado de las negociaciones entre las tres partes.
·         8 de abril de 2016: Adopción por el Consejo de la Unión Europea.​ El único estado miembro que votó en contra fue Austria, argumentando que el nivel de protección de datos en algunos aspectos es bajo en comparación con la directiva de 1995.
·         14 de abril de 2016: Adopción por el Parlamento Europeo.
·         El reglamento entró en vigor 20 días después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo de 2016.​ Sus disposiciones serán directamente aplicables en todos los estados miembros dos años después de esta fecha.
·         Será aplicada de forma obligatoria a partir del 25 de mayo de 2018.

Sanciones

La nueva ley establece las siguientes sanciones debido a su no cumplimiento:

·         Una advertencia por escrito en los casos de incumplimiento previo e intencional,
·         Auditorías periódicas de protección de datos,
·         Una multa de hasta 10,000,000 o hasta el 2% del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de las siguientes disposiciones (Artículo 83, Párrafo 4):
·         Las obligaciones del controlador y del procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
·         Las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43,
·         Las obligaciones del organismo de supervisión de conformidad con el artículo 41 (4).
·         Una multa de hasta 20,000,000 o hasta el 4% del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones : (Artículo 83, párrafos 5 y 6).
·         Los principios básicos para el procesamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,** the data subjects' rights pursuant to Articles 12 to 22,
·          Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49,
·         Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
·         El incumplimiento de una orden o una limitación temporal o definitiva del procesamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora ​​de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1)







Es una herramienta destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral. Se encuentra disponible gracias a la publicación de la Agencia Española de Protección de Datos.
Es un programa de ayuda general. Los documentos resultantes serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos.
"





________________________________________________________________________ 

Para mayor información, visite:





Entradas más populares de este blog

Twitter pide cambio de contraseñas en forma masiva

El día de hoy Twitter, a través de su cuenta @twittersupport, pidió a 330 millones de usuarios que cambién su contraseña. Las mismas fueron encontradas en un log en texto claro. Por el momento no se tiene conocimiento de que alguien fuera de twitter tenga acceso a las contraseñas, pero es de esperarse que aparezcan en algún momento publicadas en algún portal.
Mensaje original:


We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://blog.twitter.com/official/en_us /topics/company/2018/keeping-your-account-secure.html 


Actualización de PaloAlto. PAN-OS 8.1.4

El día de ayer PaloAlto liberó su versión de PAN-OS 8.1.4, esta versión incluye varios parches que resuelven problemas conocidos pero no agrega nuevas funcionalidades. Como siempre se recomienda testear los parches en un entorno adecuado para luego instalarlos en producción. En MurcIT contamos en nuestro labcenter equipos de testing y ofrecemos los servicios de upgrade, no dude en consultarnos.