El Reglamento General de Protección de Datos o Protección de Datos Personales, o GDPR, es una de las leyes más amplias aprobadas por la UE.
El objetivo es:
- Estandarizar las leyes de protección de datos en todo el mercado único
- Dar a las personas una economía digital en crecimiento un mayor control sobre cómo se utiliza su información personal.
Línea de tiempo
GDPR entró en vigencia en mayo de 2018 como el sucesor de la Directiva de Protección de Datos de la Unión Europea de 1995.
Violación de datos de British Airways
British Airways ha sido multada con 20 millones de libras. Más de 400,000 clientes se vieron afectados por la violación de BATA.
¿¿Qué pasó??
La violación en 2018 afectó tanto a los datos personales como a los de las tarjetas de crédito. Los datos robados incluían inicio de sesión, tarjeta de pago, detalles de reserva de viaje e información de nombre y dirección. Una investigación concluyó que las medidas de seguridad, como la autenticación multifactor, no estaban implementadas en ese momento. British Airways informó a sus clientes cuando se enteraron del ataque a sus sistemas.

¿Qué es la protección de datos personales bajo GDPR?
Los datos personales se refieren a cualquier información relacionada con una persona física o sujeto de datos identificada o identificable que pueda identificarse, directa o indirectamente, por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de esa persona física física, fisiológica, genética, mental, económica, identidad cultural o social.
Sujeto de datos
Un residente personal individual de países de la Unión Europea es el sujeto de los datos personales.
Datos personales
Los siguientes son ejemplos de datos personales:
- Nombre y apellidos
- Edad
- Domicilio
- Una dirección de correo electrónico como name.surname@company.com
- Directores generales de una empresa
- Un número de tarjeta de identificación o pasaporte
- Datos de ubicación, como la función de datos de ubicación en un teléfono móvil
- Protocolo de Internet o dirección IP que a veces puede ser registrado automáticamente por sitios web y herramientas analíticas, y esto contaría como recopilación de datos personales.
- Cookies ID
Responsabilidades de la organización
Las organizaciones deberán hacer lo siguiente:
- Proteger todos los datos personales de cualquier tipo;
- Determinar el propósito y los métodos que se utilizarán para procesar los datos;
- Ser responsable de cualquier error que involucre a terceros;
- Hacer que las personas den su consentimiento para el procesamiento de datos;
- Sea completamente transparente sobre los datos del individuo sobre cómo y por qué los está usando;
- Notificar a individuos y autoridades de cualquier violación de datos.
¿Cómo pueden las personas identificar si siguen el RGPD?
- ¿Tengo permiso para usar estos datos?
- ¿Cómo puedo proteger estos datos?
- ¿Necesito procesar esos datos personales y por qué?

Violaciones de datos
Una violación de datos personales es una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración o divulgación no autorizada o acceso a datos personales.
Estos son algunos ejemplos de violaciones de datos:
- Una actualización accidental de una base de datos que conduce a la escritura de datos incorrectos en los registros de las personas;
- Un hacker que accede a su red informática y toma datos de clientes;
- Un miembro del personal malicioso, incompetente o no capacitado que introduce errores en los datos personales almacenados sobre individuos o elimina registros; y
- Un miembro del personal malintencionado está copiando datos de clientes y vendiendo esos datos a un tercero.
Ámbito de aplicación del RGPD
GDPR se aplica si la empresa cae en una de las dos categorías:
- Su empresa procesa datos personales y tiene su sede en la UE, independientemente de dónde se produzca el procesamiento real de datos.
- Su empresa está establecida fuera de la UE, pero procesa datos personales relacionados con la oferta de bienes o servicios a personas en la UE o supervisa el comportamiento de las personas dentro de la UE.
Estos son algunos ejemplos:
- Si su empresa tiene un sitio web que muestra la moneda de cualquier estado miembro de la UE o envía mercancías a la UE
- Si su empresa utiliza cookies o rastrea las direcciones IP de los visitantes de su sitio web de países de la UE, el GDPR también se aplicará a su negocio.
Directrices prácticas
Estas son algunas pautas de privacidad:
- No recopile datos personales a menos que tenga un propósito específico
- Asegúrese de que todos los requisitos de protección de datos estén en su lugar al procesar datos personales
- No comparta datos personales a menos que esté seguro de que puede
- Políticas de retención de documentos (solo procese durante el tiempo que sea necesario).
Estas son algunas pautas de seguridad:
- Use contraseñas seguras en su computadora y en los archivos que comparte
- Bloquea la pantalla cuando no estás en tu escritorio
- Siempre que sea posible, los archivos en papel y otros documentos de datos personales deben mantenerse bajo llave y retirarse de su escritorio cuando ya no esté trabajando con ellos.
- Tenga cuidado de tratar la información y los datos con confidencialidad en las conversaciones cara a cara y telefónicas.
- No almacene información confidencial en One Drive o SharePoint Online sin protección con contraseña o cifrado.

Los seis principios del RGPD
- Legalidad, equidad y transparencia
El primer principio es relativamente evidente: las organizaciones deben asegurarse de que sus prácticas de recopilación de datos no infrinjan la ley y que no oculten nada a los interesados. Para seguir siendo legal, debe comprender a fondo el GDPR y sus reglas para la recopilación de datos. Para mantener la transparencia con los interesados, debe indicar en su política de privacidad el tipo de datos que recopila y por qué los está recopilando.
- Limitación de propósito
Las organizaciones solo deben recopilar datos personales para un propósito específico, indicar claramente ese propósito y solo recopilar datos durante el tiempo requerido para completar ese propósito. El procesamiento se realiza para el archivo de interés público, o se da más margen de maniobra a los fines científicos, históricos o estadísticos.
- Minimización de datos
Las organizaciones solo deben procesar los datos personales necesarios para lograr sus fines de procesamiento. Hacerlo tiene dos beneficios principales. Primero, en el caso de una violación de datos, la persona no autorizada solo tendrá acceso a una cantidad limitada de datos. En segundo lugar, la minimización de datos hace que sea más fácil mantener los datos precisos y actualizados.
- Exactitud
La precisión de los datos personales es fundamental para la seguridad de los datos. Según el GDPR, «se deben tomar todas las medidas razonables» para borrar o rectificar datos inexactos o incompletos. Las personas tienen derecho a que se borren o corrijan los datos inexactos o incompletos dentro de los 30 días.
- Limitación de almacenamiento
Del mismo modo, las organizaciones deben eliminar los datos personales cuando ya no son necesarios. ¿Cómo saber cuándo la información ya no es necesaria? Según la empresa de marketing Epsilon Abacus, las organizaciones podrían argumentar que «se les debe permitir almacenar los datos durante el tiempo que el individuo pueda ser considerado un cliente. Entonces, ¿durante cuánto tiempo después de completar una compra puede el individuo ser considerado un cliente? La respuesta a esto variará entre las industrias y las razones por las que se recopilan los datos. Cualquier organización que no esté segura de cuánto tiempo debe conservar los datos personales debe consultar a un profesional legal.
- Integridad y confidencialidad
La integridad y la confidencialidad son los únicos principios que tratan explícitamente de la seguridad. El GDPR establece que los datos personales deben procesarse para garantizar la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas».
El GDPR es deliberadamente vago sobre qué medidas deben tomar las organizaciones porque las mejores prácticas tecnológicas y organizativas cambian constantemente. Actualmente, las organizaciones deben cifrar y / o seudonimizar los datos personales siempre que sea posible, pero también deben considerar cualquier otra opción que sea adecuada.
Reflexiones finales
El Reglamento General de Protección de Datos de la UE, o GDPR, es un reglamento destinado a guiar y regular cómo las empresas de todo el mundo manejan la información personal de sus clientes, así como a crear una protección de datos reforzada y unificada para todas las personas dentro de la UE.