El Reglamento general de protección de datos (GDPR, por sus siglas en inglés) ha tenido un gran impacto en cómo las empresas deben proteger los datos en la Unión Europea (UE). Fue aprobado el día 27 de abril de 2016, empezó a ser exigible el 25 de mayo de 2018.
El reglamento tiene como objetivo principal proteger los datos personales. Además debe facilitar a los consumidores compartir sus datos, saber dónde se usan sus datos y solicitar cancelación sobre su uso.
La regulación establece obligaciones no solo para las empresas constituidas y que operan en territorio europeo. También, las establece para las empresas que se encuentren fuera y que den tratamiento a datos de residentes u organizaciones ubicadas en UE.
Notificación de filtración de datos reglamento de protección de datos
El Reglamento general de protección de datos establece que se debe notificar de manera inmediata sobre incidentes de seguridad en un plazo no mayor a 72 horas.
Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas. Es decir, si utilizó técnicas para que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado.
Te puede interesar: Dirty Data: qué es, cómo se origina y cuál es el costo para las empresas
Autentificación y cifrado de datos
El Reglamento general de protección de datos establece como obligado el cifrado de información (incluso sobre datos considerados de nivel básico) en función del riesgo que exista para sus titulares. También se exige el uso de los sistemas de Doble Factor de Autenticación (en adelante, 2FA).
Tanto el sistema 2FA y el cifrado son las medidas más adecuadas para mitigar los riesgos inherentes al tratamiento de datos de carácter personal. De esta manera se puede mantener la seguridad.
El propio reglamento de protección de datos afirman que la incorporación del cifrado de información y el sistema de autentificación es accesible para las empresas.
Recordemos que las consecuencias de las fugas de información son: pérdida de control sobre datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, y perjuicios económicos o sociales significativos.
El Gabinete Jurídico de la Agencia Española de Protección de Datos recuerda, en su Informe 494/2009, cuál es la importancia de la protección adecuada de los datos.
“La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación”.
Te puede interesar: 5 razones para comprender el valor de los datos en tu empresa
Seudonimización
El reglamento de protección de datos señala la seudonimización como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE. Es el tratamiento de datos personales de manera tal que, ya no pueden atribuirse a una persona, sin utilizar información adicional.
Dicha información adicional tiene que figurar por separado. Y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificable.
Por ejemplo, los datos biométricos requieren una separación del nombre de la persona, de manera que no sea posible relacionarlos para identificar a alguien.
Sanciones en Reglamento general de protección de datos
Las sanciones por no acatar las normas para proteger los datos de los residentes de la Unión Europea inician con una advertencia por escrito. Pero puede ser impuesta una multa de hasta 20 millones o hasta el 4% del volumen de negocios anual del año financiero anterior en el caso de una empresa. Asimismo, se puede establecer una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora.
En el mundo de los datos la protección de datos hoy en día no es tema baladí, diría el Gabinete Jurídico de la Agencia Española de Protección de Datos. Y el Reglamento general de protección de datos puede ser una referencia tanto para empresas así como entidades reguladoras que manejen datos. Es un tema muy importante de atender, que es accesible y más fácil de implementar de lo que se espera.
¡Suscríbete a nuestro newsletter!
Recibe gratis nuestro webinar de Open Banking.