El RGPD (Reglamento General de Protección de Datos) fue diseñado con buenas intenciones. . . el resultado puede dejarte pensando de otra manera. Debido a un exceso de celo para fomentar el cumplimiento, combinado con poco o ningún análisis sobre el impacto financiero que la ley podría tener, las empresas que violen el RGPD se enfrentarán a multas mínimas de diez millones de euros. En CiraSync, originalmente pensamos que el RGPD era exclusivamente sobre la residencia de los datos; si domiciliáramos todos los datos de los clientes en un centro de datos de la UE, estaríamos en conformidad. Esa suposición era errónea. Sentimos que esto presentaba una oportunidad para educar a nuestros clientes y lectores sobre exactamente de qué se trata el RGPD.
¿Qué es el RGPD?
Si los escándalos de Equifax y Facebook de la última década son como plagas en Internet, el RGPD está destinado a servir como una vacuna para prevenir que eventos similares vuelvan a ocurrir. El 25 de mayo de 2018, la UE comenzará sus rondas para erradicar esa plaga. Explicar el RGPD en su totalidad tomaría varias semanas, pero para los propósitos de conceptualizarlo aquí, el RGPD es una pieza de la legislación de la UE destinada a salvaguardar los datos en Internet. Sin embargo, a diferencia de una legislación típica, el RGPD es en gran medida -pero no enteramente- un conjunto de ideales, y no leyes codificadas. Esto se hizo para que pudiera servir como un «documento vivo» (similar a la constitución) con muchas de las normas reales y tangibles siendo decididas por un comité designado según la necesidad. Aunque esto suena excelente sobre el papel, hace que sea difícil cumplirlo cuando muchos de los requisitos son todavía desconocidos. El RGPD es una enorme y extensa pieza de legislación, uno de esos tipos de legislación de tipo «Realmente no sabemos todo lo que hay en él, ni tampoco lo saben los creadores, ya que fue hecho por un comité». Sin embargo, se espera que sirva como un conjunto de reglamentos e ideales para orientar el futuro de la protección y la gestión de datos en línea. Lo hace creando salvaguardas y reglamentos sobre la forma en que se almacenan, procesan y controlan los datos personales. Por ejemplo, debe existir un sistema para la eliminación de datos a petición del usuario.
Lo importante para los operadores comerciales estadounidenses es que el cumplimiento tiene una «aplicabilidad extraterritorial»: las empresas estadounidenses que no cumplan las directrices del RGPD no harán negocios dentro de la UE ni con entidades de la UE a menos que las empresas quieran exponerse a multas potencialmente catastróficas. Es comprensible que el cumplimiento sea vital si las empresas desean que sus clientes y socios de la UE sigan trabajando con ellos. Es justo decir que este estilo de regulación y aplicación de la ley es bastante duro. Aunque ha dejado indignadas a muchas empresas y personas, es probable que el cumplimiento sea alto. Así que, con eso en mente, aquí está un desglose de lo que el RGPD significa para las empresas americanas, junto con las directrices establecidas en las nuevas regulaciones.
¿Cuáles son exactamente las nuevas directrices?
El RGPD tiene como objetivo proteger a los ciudadanos de la UE de las filtraciones de datos y aumentar su privacidad a través de una serie de directivas básicas. Estas directivas incluyen lo siguiente:
Notificación por filtración de datos
Según las nuevas directrices, las empresas están obligadas a notificar a todos los individuos cuya información pueda haber sido comprometida. En el caso de una filtración de los datos, la notificación debe hacerse dentro de las 72 horas siguientes al momento en que se tenga conocimiento de la misma.
Derecho de acceso
Hay términos peculiares involucrados en el RGPD, por lo que es útil entender qué es un Controlador de Datos, Procesador de Datos, o Sujeto de Datos. Por ejemplo, tanto Google como Facebook son Controladores de Datos, lo que significa que pueden actuar, almacenar, transferir y vender datos. Estas entidades generan ingresos mediante el uso de información personal y demográfica para crear audiencias específicas. Una vez que han dividido y definido los grupos, venden espacio en sus plataformas a los anunciantes que desean llegar a esas audiencias objetivo.
Por otro lado, un procesador de datos es una entidad que almacena o transforma datos en su nombre. CiraSync es un procesador de datos. Procesa los datos de acuerdo con las reglas de sincronización que especifica un cliente o usuario. Por ejemplo, las listas de contactos y los calendarios compartidos son utilizados exclusivamente por un suscriptor -CiraSync los trata como bloques de datos que deben ser codificados y utilizados sólo en beneficio del suscriptor.
Por último, están los Sujetos de Datos, es decir, los usuarios. Cuando el RGPD se refiere a los Sujetos de Datos, están hablando de usted; el individuo que navega por la web o que entra en su perfil en una red social. El derecho de acceso otorga a los sujetos de los datos el derecho a solicitar información a los controladores de datos sobre el uso que se da a su información personal, los datos que se han reunido y si (y a quién) se han distribuido dichos datos. Los usuarios tienen derecho a ver todos los datos personales recopilados sobre ellos de forma gratuita y en un formato fácilmente legible.
Derecho al olvido
Uno de los aspectos más publicitados de la política de datos de la UE, el derecho al olvido, también conocido como borrado de datos, requiere que un Controlador o Procesador borre toda la información personal de la parte solicitante, detenga inmediatamente cualquier difusión de esa información y, en algunos casos, detenga el procesamiento de dichos datos por parte de terceros. Hay algunas excepciones a esta regla, pero los cambios como este son muy representativos de lo que el RGPD espera lograr. Algunos ejemplos de esto son los siguientes: todo tu perfil en las redes sociales y todos los datos sobre ti, incluyendo la meta información, son purgados. Un motor de búsqueda lo eliminará de sus índices para que su información ya no se vea en los resultados de búsqueda. Eliminación de su información de las bases de datos, como las utilizadas para el marketing por correo electrónico o las solicitudes telefónicas. Hay una serie de formas diferentes en las que los datos pueden y han sido recopilados; el RGPD da a los sujetos de datos una cantidad significativa de poder sobre dónde van sus datos y quién puede usarlos.
Portabilidad de datos
La portabilidad de datos requiere que las empresas entreguen toda la información personal que tengan sobre un individuo a petición de este. Los datos deben ser entregados de manera oportuna y fácil de leer de forma gratuita.
Privacidad desde el diseño y por defecto
Un poco menos tangible, pero el objetivo de la directriz sobre la privacidad desde el diseño es tener sistemas de protección de datos en vigor en la creación del diseño del sistema, no como una adición posterior. Más o menos una norma inejecutable y sin sentido. Es un lindo ideal, pero sin pautas de acción, es básicamente inútil.
Responsable de protección de datos
Sin entrar en demasiados detalles, las empresas que tienen una de las siguientes: a) Autoridades públicas, b) organizaciones que se dedican a la vigilancia sistemática en gran escala, o c) las organizaciones que se dedican al tratamiento en gran escala de datos personales delicados (art. 37) tendrán que contratar a un Responsable de protección de datos para que supervise el tratamiento y el control adecuados de la información personal de las personas. Hay una multitud de reglas y regulaciones asociadas con este individuo que no cubriremos aquí, pero que pueden ser investigadas más a fondo en el sitio web de RGPD. Hay una larga lista de reglas para un Responsable de Protección de Datos, pero aquí hay dos que ilustran bien las absurdas directrices:
- El Responsable de Protección de Datos debe reportar directamente al directivo de más alto rango de la compañía, y a nadie más. (Así es, el CEO / Junta / etc).
- El Responsable de Protección de Datos no debe tener otros deberes dentro de la empresa, debe estar protegido de todos los aspectos políticos / inclinaciones de la empresa, y debe tener un papel neutral en la empresa… mientras sea un empleado de dicha empresa.
Los responsables sólo se requieren para los Controladores de Datos, así que si usted es una pequeña empresa que proporciona servicios y entra en esta clasificación, podría encontrar esto tan absurdo como suena.
Consentimiento informado
Con el RGPD, se han hecho cambios en la forma en que se permite a las empresas recopilar información de los usuarios. A partir de mayo, cuando se reúna la información de los usuarios, deberá cumplirse con un umbral de consentimiento informado.
En el pasado, las empresas podían comprar activamente listas de correo, entre la extracción de datos, las colecciones generales, etc. Una empresa de marketing podría recopilar eficazmente las direcciones de correo electrónico de los usuarios sin su consentimiento.
En el presente, las empresas ya no podían (típicamente) comprar listas de correo electrónico; en su lugar, los usuarios tenían que optar por una lista de correo, a menudo suscribiéndose.
En el futuro, solo consentimiento informado, es decir, doble consentimiento. Los usuarios tienen que suscribirse primero con un correo electrónico y, a partir de ahí, deben ser informados ampliamente de cómo se utilizarán sus datos, cómo se procesarán, quién los manejará, etc., etc. Crea una barrera bastante grande para la recolección de información de los usuarios. De hecho, muchas empresas de marketing creen que las listas de correo de las empresas promedio bajarán más del 50%.
Además, los usuarios que se hayan suscrito, incluso recientemente en el pasado, deben ser actualizados con respecto a los cambios en la política de datos; estos opt-ins previamente existentes ya no pasan la barrera de lo que se considera el consentimiento informado.
Residencia de datos
El RGPD esboza consideraciones especiales si los datos de la UE se almacenan fuera de los límites de la UE territorial o se transfieren fuera de dichos territorios. Muchas empresas se verán obligadas a alquilar espacio de almacenamiento en servidores situados físicamente en la propia UE para cumplir con este mandato. Si accede a los datos dentro de la UE y quiere procesarlos en otro lugar, pueden aplicarse trámites burocráticos adicionales.
En el futuro
Esta es una larga lista de cambios que tardarán algún tiempo en entrar en vigor. Mientras tanto, esto es lo que estamos haciendo en CiraSync para asegurar el cumplimiento de la ley RGPD y proteger la información personal de nuestros usuarios:
- Hemos instalado servidores de trabajo en un centro de datos de la UE. Todos los datos se procesan o residen dentro de la UE. En otras palabras, estamos cumpliendo con los requisitos de residencia de datos del RGPD
- CiraSync tiene que leer una lista de contactos y luego escribir muchas docenas o cientos de veces a los buzones de los usuarios. No podríamos hacer esto sin una base de datos intermedia para almacenar estos datos. Para los suscriptores de la UE, todos los datos de los usuarios en caché se almacenan ahora en servidores de la UE.
- El cifrado de toda la información de identificación personal se implementará en el segundo trimestre de 2018.
- Mejoras en el sitio web para cumplir con la normativa RGPD.
Independientemente de la industria, las directrices establecidas por el RGPD señalan un cambio masivo en la forma en que las empresas tendrán que manejar y acercarse a la información del usuario. Aunque los cambios en sí mismos no son demasiado difíciles de implementar, puede que sea necesario contratar a un Responsable de Protección de Datos.
Lo que esto significa para los negocios aún está por verse. Es probable que pasen varios años antes de que se comprenda en su totalidad el impacto de estos cambios.
Nos gustaría que la gente se alejara de esto haciéndose estas preguntas y considerando si el RGPD de hecho va demasiado lejos:
- ¿Qué pasa exactamente con un negocio que hace un trabajo a medias implementando las regulaciones y es multado?
- ¿Es necesario hacer cambios?
- ¿Qué tan alto será el cumplimiento?
Haremos un seguimiento una vez que la legislación haya entrado en vigor. Por cierto, nos tomamos algunas libertades editoriales con el título. No es verdad; al menos no todavía.
Más historias del soporte técnico
• Las actualizaciones obligatorias de contraseñas afectan a la seguridad del usuario: Cambio de la política de contraseñas de Microsoft
• Agitado, no revuelto: Nuevas herramientas para derrotar a los robots
• La anulación de la neutralidad de la red: Lo que los usuarios de teléfonos móviles pueden esperar en 2018
• Seguridad SaaS: Cómo CiraSync mantiene seguros los datos de los usuarios