Se trata de la reforma más importante en materia de protección de datos y que busca, entre otras cosas, garantizar la privacidad de todos los ciudadanos de la UE en su actividad online. Su aplicación afecta a todas las empresas, independientemente de su tamaño y sector de actividad.
Ámbito de la ley
El GDPR se ocupa de las tipologías y formas de tratamiento que pueden llevar a cabo las empresas de los datos personales de los ciudadanos que residen en la UE. Una de las novedades es que los redactores del reglamento han definido claramente, en su artículo cuatro el dato personal como toda información relativa a una persona física identificada o identificable, directamente o indirectamente, con un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.
Pilares de GDPR
Si hay un elemento diferenciador en este nuevo reglamento es que está basado fundamentalmente en el consentimiento del procesamiento de datos: cada sujeto de datos tendrá que autorizar de forma explícita el propósito de esta utilización de los datos. A la hora de ceder sus datos, el interesado tendrá que autorizar explícitamente en un formulario el consentimiento al uso de sus datos. A diferencia de las autorizaciones actuales, no valdrá tener una sola autorización de datos por parte de los sujetos para todos los tratamientos, sino que se tendrá que dar un consentimiento para cada propósito. Además, el consentimiento tendrá que ser realizado de forma explícita. No valdrá tener la autorización del consentimiento premarcado.
Pero los cambios no acaban ahí, y es que si hay una novedad con respecto a la legislación anterior son las sanciones previstas por los reguladores para las infracciones a la norma. Su objetivo es que las empresas no subestimen este reglamento y que actúen para cumplirlo. Estas sanciones recogen por ejemplo, en el caso de las faltas más graves, una multa del 4% del facturado global o 20millones de euros, (de los dos, el importe más grave) mientras que en el resto de las faltas, la sanción prevista es del 2% del facturado global o 10 millones de euros, (de los dos, el importe más grave).
Más privacidad para el ciudadano
Si hasta ahora, muchas de las infracciones que a la protección de los datos de los ciudadanos se cometían no tenían ninguna repercusión o sanción por parte de las autoridades, el nuevo reglamento simplifica significativamente los pasos para que personas presentar reclamaciones contra las empresas y en particular, toda persona que haya sufrido un «perjuicio material o no material» como consecuencia de un incumplimiento del GDPR, tendrá derecho a percibir una indemnización. La inclusión de daño «no material» significa que los individuos podrán reclamar compensación por angustia y sentimientos heridos incluso cuando no puedan demostrar pérdidas financieras. Además según el artículo 80, será posible crear class action por parte de asociaciones de consumidores para demandar daños y prejuicios a las empresas, algo que también podrán hacer grupos de empleados creados para denunciar a las empresas.
Y la creación de una nueva figura, el Delegado de Privacidad, en todos aquellos organismos públicos y empresas que gestionen grandes cantidades de datos y el Privacy Impact Assesment (PIA) o estudio de riesgos, que toda empresa tiene que hacer para identificar posibles fallos o áreas de incumplimiento.
Hay además otros puntos que suponen un cambio y sobre todo un avance en cuanto a la protección de los datos de los ciudadanos. Entre ellos destacan, el derecho de ser informado, por el que las empresas tendrán que proporcionar un canal donde cada sujeto de datos podrá conocer de forma directa quién es delegado de tratamiento de datos y qué tipo de tratamiento se realizan por sus datos. El derecho de acceso, gracias al cual el interesado tendrá derecho a conocer, tanto el propósito para el que se procesarán los datos, como los intereses legítimos para el procesamiento, con qué fin, qué tipo de datos se manejan y quiénes son los destinatarios que están tratando los datos personales.
Y por último, dos derechos importantes, el de rectificación, por el que el interesado tendrá derecho a obtener, rápidamente del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan y el de borrado, gracias al cual podrá pedir la eliminación de sus datos personales de la base de datos de las empresas, así como retirar su consentimiento de tratamiento dado en precedencia.
Principio de rendición de cuentas
Es muy importante considerar que en el reglamento está previsto el principio de rendición de cuentas que requiere que la empresa demuestre que cumple con los principios que se han definido. Esto supone que las empresas tendrán que implementar medidas técnicas y organizativas apropiadas que aseguren y demuestren que cumple con la regulación, definir unos procesos internos bien documentados que indiquen que se están cumpliendo el reglamento y por supuesto, definir las políticas internas de protección de datos.
El nuevo reglamento de GDPR exige «al responsable del tratamiento, sin demora injustificada, y cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ello, notificar la infracción a la autoridad de supervisión. Cuando el incumplimiento de los datos personales pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento también debe notificar a las personas afectadas sin demora indebida.
Para no dejar nada sin regular, la nueva normativa GDPR contempla, en su artículo nueve los denominados “datos especiales”, que son todos aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Además de datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Los datos de esta categoría podrán ser tratados solo en una casuística muy limitada, donde el tratamiento de esta categoría sea para proteger intereses vitales o por razones de un interés público esencial.
Armonización
Si hay una palabra clave en esta nueva directiva, es sin duda Armonización. GDPR tiene el propósito de «armonizar las leyes de privacidad de datos en toda Europa» para proteger los derechos de las personas naturales.
Una de las dificultades que tendrán las empresas a la hora de enfrentarse a esta nueva directiva es que al estar basada en principio, no es universalmente aplicable, cada entidad debe identificar las obligaciones que tiene que cumplir dado su propio escenario específico. Por lo tanto, una adopción demasiado relajada puede conducir fácilmente a multas cuantiosas, Señalar por último, que en este
Para ayudar a las empresas a diseñar su implantación, el El ICO (Information Commisioner Officer), el ente de protección de datos de Reino Unido, ha establecido una hoja de ruta que es ampliamente adoptada y sugiere la mejor forma para que una empresa pueda abordar un proyecto de cumplimiento de GDPR.
El autor de este artículo es Fabio Cerioni, CTO y accionista de Techedge España & LATAM.
Fuente: www.cso.computerworld.es
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |