La Unión Europea dio, 2018 con la aprobación de la GDPR, mas un paso en dirección a los derechos de sus ciudadanos. Em mayo de este año, los europeos se tornaron dueños, efectivos, de sus propios datos. Ellos tienen el derecho de retomar su pose de empresas si así desearen. Y es importante resaltar que el derecho del europeo sobre sus datos se extiende por el mundo entero, y eso afecta directamente el Brasil.
Y será ese el asunto de este post. Vamos hablar sobre lo que es GDPR, como ella afecta las empresas de TI y como adecuarse a esa nueva ley. ¿Quiere entender de una vez el tema? Entonces no deje de conferir nuestro post y buena lectura.
Entendiendo lo que es GDPR
GDPR es el acrónimo para General Data Privacy Protection Regulation. Es una ley que atinge todos los ciudadanos europeos, viviendo en la Europa o no. Fue aprobada en 2016, pero solamente ahora en 2018 que entró en vigor de hecho. Ella trata de la protección y reglamentación de datos sobre diferentes perspectivas. Todavía, establece claramente los liminares entre los derechos de los ciudadanos europeos y sus datos.
6 aspectos importantes a ser considerados en la GDPR
Las principales medidas de la GDPR necesitan ser muy bien evaluadas para que no suceda implicaciones legales. Y eso puede afectar directamente a las empresas de TI. A seguir listamos las características mas importantes:
1.Entendimiento sobre la naturaleza de los datos
La colecta de datos solo puede ser realizada con un propósito bien especifico. Sitios, aplicativos y plataformas de registros no deben colectar mas información que lo necesario. El motivo es evitar que fallas de seguridad y las fugas expongan los ciudadanos europeos de forma innecesaria.
Los responsables que tienen la pose de los datos son llamados de controladores y procesadores. El controlador es quien colecta y mantiene la pose de contenido de terceros. El operador es quien utiliza esas informaciones. Esa distinción es necesaria, pues, diferencia las responsabilidades del manoseo de los datos de los titulares.
Para comprender mejor su naturaleza, es necesario implementar medidas organizacionales que garantan la seguridad, pues el contenido debe ser guardado en una infraestructura que sea confiable, accesible, durable e integra.
2.Respecto al ciudadano, donde quiera que esté
Ese es el principal punto donde las empresas de TI del Brasil son afectadas. Productos y servicios que tengan registro de personas físicas o jurídicas en la Unión Europea están sujetos a GDPR. O sea, registros, contratos y cualquier relación con eses ciudadanos están sobre la aplicación de la ley.
3.Reducción de la coleta
La retención de información debe ser restricta solamente a lo que es necesario. Nada de quedar colectando dirección, numero de teléfono, entre otras cosas para utilizar servicios simples que requieren apenas campos como nombre y e-mail.
Además de eso, deberá haber el consentimiento explicito del usuário y nada puede ser colectado secretamente.
4.Exclusión permanente de datos al terminar el contrato de servicio
Los usuários europeos tienen el derecho de ser olvidados por las empresas que un día ya tuvieron posesión de sus informaciones. Si desearen, ellos pueden solicitar la exclusión permanente de sus datos.
5.Notificación en caso de fugas
Si haber fallas de seguridad o fugas de datos, los clientes deben ser comunicados. La GDPR estipula un plazo de hasta 72 horas después de lo sucedido. La directriz es para alertar al DPA, Data Protection Authority, sobre la falla.
6.Realización de la gestión eficiente de datos
Toda empresa necesita tener en su cuerpo de funcionarios un DPO, Data Protection Officer. El es un profesional responsable por la gestión y protección de datos de la empresa, y la exigencia de la GDPR es de que el sea un miembro del directorio.
Como la GDPR afecta las empresas de TI
Esa ley clarifica bien el concepto de controladores y procesadores de datos. Cualquier empresa de TI que controle o procese informaciones de ciudadanos europeos esta sujetas a ella.
Por eso, corporaciones de TI, que ofrecen productos y servicios para la Unión Europea, deben cumplir con las obligaciones impuestas por la GDPR. Eso es muy común para las instituciones con servicios online que desarrollen aplicativos publicados en tiendas internacionales, como la Google Play Store, por ejemplo.
6 pasos para quedar dentro de la ley
Si su empresa presta cualquier tipo de servicio que puede este sujeto a implicaciones de la GDPR, entonces es necesario adoptar algunas medidas para encuadrarse en la nueva legislación. El primer cambio debe ser en las políticas internas de responsabilización, que garanten la integridad y seguridad de los datos de los usuarios. Para eso es solo seguir algunos pasos importantes.
1.Realizar identificación de datos
Tantas informaciones de clientes cuanto de funcionarios necesitan ser debidamente colectadas. Ellas deben ser almacenados en locales seguros y de fácil acceso en caso de la solicitud de remoción.
2.Automatizar la política de datos
Cualquier operación que involucre acceso a los datos debe ser automatizada. El sistema necesita tener validación y control de acceso, recursos de criptografía, políticas de privacidad y red de retención de informaciones. La automatización combate las posibles aperturas en la prestación de servicios.
3.Posee un proceso bien definido para la remoción de datos personales
Caso el cliente o funcionario solicite la retirada completa de sus datos, ellos deben ser removidos rápidamente y sin ningún problema. Eso involucra eliminar informaciones del bando de datos, redes sociales, sitios corporativos, backups y otros locales de almacenamiento.
4.Enjugar la cantidad de datos requisitados a los usuarios
Apenas el contenido estrictamente necesario debe ser solicitado a los usuarios. Para que eso suceda, la empresa necesita tener un modelo de negocios que sea consistente con la colecta. Además de eso, ella debe preocuparse con el exceso y duplicada de informaciones que son innecesarios.
5.Realizar auditorías constantes
Las auditorías deben ser realizadas por una gobernanza de TI que quedará con la responsabilidad de garantizar que los datos están en conformidad con el modelo negocios de la empresa.
6.Tener planificaciones de emergencias en caso de fugas
Las empresas necesitan tener planificaciones de desastre para el caso de fugas de contenidos sensibles. Él debe ser un proceso que involucra el DPO y la DPA.
Es importante estar atento a la ley, pues las multas pueden ser altas. Los valores pueden llegar hasta 20 millones de euros. Además de eso, Brasil también aprobó la ley general de protección a los datos que es bien similar a la europea. Adecuarse a GDPR será un gran paso para estar dentro de la legislación brasileña, en vigor en 2020.
¿Te gustó nuestro contenido sobre GDPR? Entonces no deje de conferir nuestro post sobre como optimizar su gestión de TI. ¡Hasta la próxima!
Descárgalo ahora! Como su empresa de TI puede crecer en apenas 3 pasos