Una guía sobre el RGPD: el Reglamento general de protección de datos

Publicado: 2021-03-09

El Reglamento General de Protección de Datos (GDPR) se aprobó en mayo de 2018 en un intento de proteger a los ciudadanos de las violaciones de datos debido a negligencia o malos actores. La regulación europea es una de las muchas que intentan hacer que los entornos digitales sean más seguros para los consumidores: CCPA en California, LGPD en Brasil, PIPL en China, PIPEDA en Canadá.

GDPR es una respuesta a la creciente preocupación pública en Europa sobre la privacidad de los datos. La Unión Europea ha utilizado la regulación para salvaguardar la protección de datos en la UE y las áreas económicas europeas con una aplicación estricta de las reglas, poderes de investigación y multas sustanciales por incumplimiento o en caso de violaciones de datos.

GDPR brinda protecciones de datos a los consumidores, que incluyen:

  1. El derecho a ser informado
  2. El derecho de acceso
  3. El derecho a la rectificación
  4. El derecho a borrar
  5. El derecho a restringir el procesamiento
  6. El derecho a la portabilidad de los datos
  7. El derecho a objetar
  8. Derechos en relación con la toma de decisiones automatizada y elaboración de perfiles

Quién debe preocuparse por el cumplimiento de GDPR

No hace falta decir que si usted es una empresa europea, o una empresa que hace negocios en Europa, debe conocer los requisitos de GDPR.

Las empresas en los Estados Unidos también deben prestar atención a GDPR porque, aunque la regulación es específica de Europa, afecta a las empresas fuera de la UE y el EEE que también manejan los datos de los consumidores europeos. La economía global no está aislada y hay muchos efectos indirectos; debe verificar los proveedores con los que trabaja para asegurarse de que cumplan con los requisitos de cumplimiento para evitar cualquier responsabilidad.

Si es una empresa de comercio electrónico, usted, como comerciante, es el controlador de datos responsable de los datos de sus consumidores. Elegir a los socios adecuados con los que trabajar será parte de cómo lograr el cumplimiento total. Por ejemplo, Shopify tiene muchos recursos relacionados con el RGPD para ayudarlo a comprender sus obligaciones y demostrar su propio cumplimiento.

Los consumidores de EE. UU. también deberían tener interés en GDPR, ya que podría beneficiarlos sin siquiera saberlo. GDPR garantiza la protección no solo para los ciudadanos europeos, sino también para cualquier consumidor cuyos datos se trafiquen en Europa, como aquellos que visitan por vacaciones o negocios. También debería servir como un recordatorio de qué tipo de datos están y no están protegidos en los Estados Unidos.

Actitudes de los consumidores hacia la protección de datos

El Informe de privacidad y seguridad de datos de RSA ha encuestado a más de 7500 consumidores en Francia, Alemania, Italia, el Reino Unido y los EE. UU. sobre "el impacto que tienen la privacidad, los datos y las regulaciones en sus relaciones con las empresas".

Mostró desconfianza en los vendedores en línea y miedo a los piratas informáticos, ya que "Más del 40% de los encuestados admitió haber falsificado información y datos personales al registrarse para obtener productos y servicios en línea" para evitar la comercialización o la pérdida de datos confidenciales.

El 80 % de los encuestados mencionaron la información financiera y bancaria como una preocupación por tener datos expuestos en una violación de datos, además de estar preocupados por sus contraseñas (76 %) e información de identidad como pasaportes y licencias de conducir (72 %).

Otros datos demográficos interesantes incluyeron que el 51% de los encuestados alemanes protegen sus datos genéticos, y el 51% de los jóvenes de la generación del milenio (de 18 a 24 años) están preocupados por el uso de información personal para chantajear.

Es imperativo crear un espacio en línea en el que los consumidores puedan confiar, pero también existe un incentivo para que las empresas mejoren sus prácticas de seguridad de datos: el 82 % de los encuestados en el Reino Unido afirmaron que boicotearían a una empresa que demostrara continuamente que no tienen en cuenta protegiendo los datos de los clientes.

Aunque la amenaza de boicot puede no ser un incentivo suficiente para que las empresas se autorregulen, las naciones europeas han desarrollado un marco regulatorio sustancial y progresivo que obliga a las empresas a tomar en serio el tema de la seguridad de los datos, y no han tenido miedo de imponer enormes multas para demostrar la gravedad del problema.

Qué tipo de datos personales protege el RGPD

Como parte de las amplias regulaciones de cumplimiento de GDPR, las empresas deben proteger los datos de los consumidores, incluidos:

  • Información de identificación personal (PII), como nombre, dirección y números de identificación.
  • Datos web, como direcciones IP, datos de cookies y etiquetas RFID.
  • Salud y datos genéticos.
  • Opiniones políticas.
  • Orientación sexual.

Los beneficios del RGPD

GDPR es completo y progresivo. Las altas multas impuestas pueden haber molestado a Google, pero son un medio para un fin, un fin que es un entorno digital más seguro que protege a los consumidores y responsabiliza a las empresas por diseñar mejores sistemas. El CEO de Apple, Tim Cook, ha dicho que “debería ser la ley en todo el mundo” y que los gobiernos deberían defender la privacidad de los datos del consumidor.

Aunque es posible que el RGPD no se aplique a todas las empresas de América del Norte, ser uno de los primeros en adoptar prácticas de seguridad de datos es beneficioso para su empresa. Michael Fimin, escribiendo en la revista Forbes, reconoce cinco beneficios para el cumplimiento de GDPR.

1. Ciberseguridad mejorada

GDPR "requiere que las organizaciones identifiquen su estrategia de seguridad y adopten medidas administrativas y técnicas adecuadas para proteger los datos personales de los ciudadanos de la UE". La implementación de estas prácticas protege sus datos y mejora su ciberseguridad.

2. Gestión de datos mejorada

Al revisar su recopilación y almacenamiento de datos, "deshágase de los archivos redundantes, obsoletos y triviales (ROT) que conserva su organización" y haga que sus datos se puedan buscar. Sus empleados serán más eficientes si sus sistemas son sencillos, indexables y con capacidad de búsqueda.

3. Mayor retorno de la inversión con clientes potenciales más calificados

Cuando haya cambiado su política de cookies a una que los usuarios tengan que aceptar, es posible que tenga un grupo de datos más pequeño, pero debido a que todos en ese grupo habrían tenido que tomar una decisión activa para permitirle usar sus datos, deberían ser considerado más calificado.

4. Confianza del consumidor

Los consumidores están preocupados por cómo se recopilan, utilizan y exponen sus datos a riesgos en línea. Ir más allá de los requisitos estadounidenses para proteger los datos de sus clientes según el estándar de GDPR destaca cuánto valora sus datos personales y qué tan en serio se toma la amenaza de las filtraciones de datos.

5. Diferenciación de mercado

Ser uno de los primeros en adoptar tiene muchos beneficios. Puede pasar por muchas iteraciones de prácticas de seguridad de datos para perfeccionar sus sistemas antes de que un usuario tardío ingrese a ese espacio, anticipar los requisitos de cualquier regulación futura y puede lograr el cumplimiento antes de que sea obligatorio o exigible, y le dará diferenciación en el mercado en un mar de los competidores que aún no han dado un paso en la seguridad de los datos. Como dice Fimin, el cumplimiento de GDPR es su oportunidad de “implementar una nueva cultura empresarial que aprecie la privacidad humana. El RGPD es tu oportunidad de sobresalir.”

Inconvenientes del RGPD

Una preocupación por regulaciones tan estrictas es que el costo de cumplimiento podría ser una barrera de entrada para nuevas empresas en el espacio digital, que se ha considerado como un entorno que recompensa el riesgo, la innovación y la disrupción de las nuevas empresas. Las empresas de rápido crecimiento pueden ser menos competitivas frente a los competidores más grandes que ya existen en el mercado.

Para empresas más grandes, o empresas que manejan grandes volúmenes de datos personales, existen los costos asociados con la contratación o promoción de un Oficial de Protección de Datos a cargo de proteger los datos y cumplir con las autoridades europeas. Las multas pueden ser considerables y disuasorias, pero también lo son los costos asociados con el cumplimiento. Los gastos generales adicionales podrían ser una sentencia de muerte para las PYMES.

El cumplimiento es algo que debe gestionarse activamente. Es posible que las empresas más pequeñas no puedan mantenerse al día con el cumplimiento de la misma capacidad que las empresas más grandes. Esto preserva la ventaja competitiva que ya tienen estas empresas más grandes.

Las limitaciones sobre cómo las empresas pueden recopilar, almacenar y usar datos afectarán el aspecto técnico de la publicidad en la que confían muchas PYMES. Sin el conocimiento de los datos de calidad con fines de marketing, las empresas experimentan dificultades para llegar a sus audiencias previstas y los consumidores pueden recibir anuncios menos relevantes. La buena publicidad beneficia tanto al consumidor como al anunciante cuando los productos correctos se presentan ante los ojos correctos.

Otra crítica al RGPD es que ha ido demasiado lejos y que la sobrerregulación llevará a que a los consumidores se les pida constantemente su consentimiento en línea. Los usuarios se encontrarán con pancartas de cookies constantes, o las empresas no recopilarán datos confidenciales en primer lugar, sino que utilizarán análisis de datos alternativos para lograr el cumplimiento sin ninguna solicitud de suscripción realizada a los visitantes del sitio web.

Cómo lograr el cumplimiento de GDPR

La privacidad de los datos es un problema mundial y el RGPD afecta a cualquier empresa que maneje datos de residentes de la UE. Si su sitio web recopila datos de usuario con un software de análisis, esta regulación lo afecta y tendrá que cambiar de la opción de exclusión voluntaria a la recopilación de datos opcional.

Audite los datos que está recopilando.

Comprenda qué tipo de datos procesa, cómo se almacenan y quién en su organización tiene acceso a ellos. Supervise a sus proveedores que recopilan datos de su sitio web y verifique sus declaraciones sobre el cumplimiento de GDPR.

Aborde la privacidad en todos los niveles.

No solo preste atención a cómo se diseñan los sistemas o cómo se almacena la información, sino también a quién tiene acceso local a las cuentas.

Adopte un enfoque basado en el riesgo.

El cumplimiento de la seguridad de datos requiere colaboración; recopile información y aportes de todos en su organización. Al unirse para identificar sus mayores riesgos y priorizar sus soluciones, puede reconocer sus riesgos de manera efectiva y lograr el cumplimiento.

Control de datos

Los consumidores europeos ahora tienen derechos ampliados sobre cómo se recopilan sus datos personales y cómo se utilizan, pero también tienen derecho a la 'portabilidad de los datos', lo que significa que pueden solicitar una copia de los datos personales que se tienen sobre ellos o solicitar que se ser rectificado o suprimido.

Las empresas que invierten mucho en el espacio digital y trafican datos personales en cualquier nivel tendrán que desarrollar prácticas y tecnologías que les permitan cumplir fácilmente con las regulaciones.

  • Supervise y asegure continuamente los activos digitales.
  • Establezca los controles adecuados para proteger los datos de las infracciones.
  • Poner los datos a disposición de los interesados ​​en un "tiempo razonable".

Qué sucede si no cumple: sanciones del RGPD

Las sanciones de alto perfil para GDPR han sido enormes. En el primer año de la nueva regla, Google recibió una multa de 50 millones de euros. Intersoft Consulting escribe sobre las multas de GDPR que están diseñadas para ser "eficaces, proporcionadas y disuasorias para cada caso individual".

El reglamento se redactó con una estructura de multas de dos niveles para penalizar a las empresas:

Las infracciones menores están "sujetas a multas administrativas de hasta 10 millones de euros, o en el caso de una empresa, hasta el 2 por ciento de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor".

Las infracciones graves están "sujetas a multas administrativas de hasta 20 millones de euros, o en el caso de una empresa, hasta el 4 por ciento de la facturación anual mundial total del ejercicio fiscal anterior, lo que sea mayor".

Las sanciones pueden decidirse teniendo en cuenta:

  • la naturaleza, la gravedad y la duración de la infracción, teniendo en cuenta la naturaleza, el alcance o la finalidad del tratamiento en cuestión, así como el número de interesados ​​afectados y el nivel de perjuicio sufrido por ellos.
  • el carácter doloso o negligente de la infracción.
  • cualquier acción realizada por el responsable o encargado del tratamiento para mitigar el daño sufrido por los interesados.
  • el grado de responsabilidad del responsable o encargado teniendo en cuenta las medidas técnicas y organizativas implantadas por ellos.
  • cualquier infracción anterior relevante por parte del controlador o procesador.
  • el grado de cooperación con la autoridad de control, con el fin de remediar la infracción y mitigar los posibles efectos adversos de la infracción.
  • las categorías de datos personales afectados por la infracción.
  • la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado del tratamiento notificó la infracción y, en caso afirmativo, en qué medida.
  • cuando las medidas a que se refiere el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado del tratamiento en relación con el mismo objeto, el cumplimiento de dichas medidas.
  • adhesión a códigos de conducta aprobados de conformidad con el artículo 40 o mecanismos de certificación aprobados de conformidad con el artículo 42.
  • cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, tales como beneficios económicos obtenidos o pérdidas evitadas, directa o indirectamente, de la infracción.

¿Cuáles son las multas promedio por violaciones de GDPR?

GDPR se convirtió en ley en mayo de 2018, y solo en el resto de ese año, se emitieron 91 multas por un total de € 55,955,871. En su mayor parte, son las multas de gran suma de alto perfil las que reciben la mayor parte de la atención, pero no todas las multas de GDPR se publican o aparecen en los titulares. Cuando se elimina de los datos la multa por valor atípico de 50 millones de euros que se le entregó a Google, la multa promedio del RGPD a la que se enfrentó una empresa fue de aproximadamente 66 000 euros.

La Autoridad de Protección de Datos de los Países Bajos (DPA) publicó sus directrices para sancionar las infracciones en marzo de 2019. Desarrollaron un sistema de sanciones por niveles con cuatro categorías según la gravedad de la infracción.

La categoría I se aplica en el caso de infracciones simples o administrativas, como "no compartir los datos de contacto del responsable de protección de datos (DPO) de la empresa o no registrar adecuadamente las responsabilidades de los procesadores o controladores conjuntos". Gama fina de 0€ – 200.000€; sanción estándar de 100.000 €.

La categoría II se aplica cuando una empresa no cumple con las obligaciones y los requisitos específicos del RGPD. Gama fina de 120.000€ – 500.000€; sanción estándar de 310.000 €.

La categoría III se aplica cuando una empresa se niega a ser transparente con sus usuarios o con la Autoridad holandesa de protección de datos (DPA), se niega a notificar a la DPA sobre infracciones o se niega a cooperar con la DPA. Gama fina de 300.000€ – 750.000€; sanción estándar de 525.000 €.

La categoría IV se aplica cuando una empresa se involucra en el procesamiento ilegal de datos confidenciales, elaboración de perfiles ilegales o se niega a cumplir con directivas específicas de la DPA holandesa. Gama fina de 450.000€ – 1.000.000€; sanción estándar de 725.000€*
*Solo en caso de aplicar los 20.000.000€ / 4% de la facturación anual

Instancias notables de aplicación de GDPR

En el otoño de 2020, Marriot y British Airways recibieron multas sustanciales luego de violaciones de datos separadas en 2018 que afectaron negativamente a los consumidores.

vías aéreas británicas | $ 25,85 millones | Reino Unido, 2020

British Airways recibió una multa de $ 25,85 millones y 400,000 de los datos de sus clientes se vieron comprometidos en la violación de datos. La multa que les impuso la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) fue por sus debilidades en la seguridad de sus datos después de que la investigación descubriera que habían estado procesando “una cantidad significativa de datos personales sin las medidas de seguridad adecuadas”.

Aunque la multa era la multa más grande que había dado el ICO, originalmente habían propuesto una multa de $229 millones antes de tomar en consideración el impacto económico que ha tenido el Covid-19 en la industria de la aviación. El ICO también le dio crédito a BA por las "mejoras considerables en su seguridad de TI" después del ataque y por cumplir con los investigadores, los cuales ayudaron a reducir el total de la multa original.

marriott internacional | $ 23,8 millones | Reino Unido, 2020

En 2020, los hoteles Marriott recibieron una multa de $ 23,8 millones por una violación de datos que expuso 339 millones de registros de huéspedes, lo que afectó a 30 millones de usuarios en toda la UE. Lo interesante del caso Marriott es que la infracción original se remonta a 2014, pero no se descubrió hasta 2018, y "la sanción solo cubre la parte de la infracción que data del 25 de mayo de 2018, cuando entró en vigor el RGPD". .”.

Al igual que la multa de British Airways, otorgada solo unas semanas antes de la multa de Marriott, el gobierno del Reino Unido redujo el monto total de la multa de $ 123 millones debido al impacto económico de Covid-19, así como a los esfuerzos de mitigación y cumplimiento de la empresa.

Google | $57 millones | Francia, 2018

Google, desde el inicio de GDPR, ha sido la ira de los reguladores de datos franceses. En 2018, la empresa fue multada con 50 millones de euros por “falta de transparencia, información inadecuada y falta de consentimiento válido en relación con la personalización de anuncios”.

Google | $ 121 millones | Francia, 2020

A fines de 2020, los reguladores franceses volvieron a imponer a Google una multa de 100 millones de euros, aunque Google actualmente está luchando contra la cantidad en los tribunales. La multa se debió a que cuando los usuarios visitaron google.fr "se colocaron siete cookies en su equipo terminal, antes de cualquier acción por su parte".

Amazonas | $42 millones | Francia, 2020

Amazon también recibió una multa de 35 millones de euros por parte de los reguladores franceses por la misma violación de cookies. Las autoridades francesas determinaron que ni Google ni Amazon cumplían “el requisito de información previa, clara y completa para los usuarios, ni el requisito de obtener su consentimiento y que el mecanismo para oponerse a estas cookies era parcialmente defectuoso”.

H&M | $ 41,3 millones | Alemania, 2020

Mientras que las otras instancias de alto perfil de aplicación de GDPR se debieron a consumidores afectados por violaciones de datos y prácticas de la empresa, la multa de H&M fue por vigilar ilegalmente a sus propios empleados en Alemania.

La Autoridad de Protección de Datos de Hamburgo (HmbBfDI) pronunció la multa, la más grande de Alemania desde la implementación de GDPR, después de que se descubriera que la compañía monitoreaba excesivamente la vida privada de sus empleados. Desde al menos 2014, algunos miembros del personal habían sido objeto de “extensas grabaciones de detalles sobre su vida privada”.

“Después de ausencias como vacaciones y bajas por enfermedad, los líderes del equipo de supervisión llevaron a cabo las llamadas Charlas de Bienvenida con sus empleados. Después de estas charlas, en muchos casos no solo se registraron experiencias concretas de vacaciones de los empleados, sino también síntomas de enfermedades y diagnósticos”, dijo HmbBfDI. “Además, algunos supervisores adquirieron un amplio conocimiento de la vida privada de sus empleados a través de charlas personales y de piso, que van desde detalles bastante inofensivos hasta problemas familiares y creencias religiosas”.

Las prácticas de recolección de datos quedaron expuestas en octubre de 2019 luego de que un error interno permitiera que la información estuviera accesible por varias horas. El Prof. Dr. Johannes Casper, Comisionado de Protección de Datos y Libertad de Información de Hamburgo, dijo sobre la multa: "Por lo tanto, el monto de la multa impuesta es adecuado y efectivo para disuadir a las empresas de violar la privacidad de sus empleados".

Nuestros pensamientos sobre el RGPD

GDPR es un acto progresivo e integral que establece un estándar para la protección de datos que protege a los consumidores, y eso es algo bueno para las personas. Las sanciones están diseñadas para ser proporcionadas y efectivas, para obligar a las empresas a ver cuán grave es el tema de la protección de datos y para disuadir el incumplimiento.

Soy europeo, por lo que puedo ser parcial; GDPR se alinea con mis sensibilidades europeas. Pero mis prioridades están con las empresas a las que proporciono valor, y creo que las prácticas mejoradas de seguridad de datos también les convienen.

Sí, el cambio puede tener algunos problemas iniciales para las empresas que no pueden cumplir con la rapidez suficiente o no pueden pagar el costo de contratar profesionales de cumplimiento para gestionar riesgos específicos. Aún así, las multas son lo suficientemente costosas como para considerar invertir en profesionales de cumplimiento o al menos auditar sus riesgos existentes.

Ayuda que las agencias europeas de control de datos trabajen con los controladores de datos para mitigar las consecuencias de cualquier infracción o posible infracción. No es solo que impongan sanciones, quieren activamente que el entorno digital sea más seguro, más inteligente y más mejorado; restaurar la confianza del consumidor en los espacios digitales; y proporcionar a los usuarios derechos y protecciones sobre sus datos personales.

Con el enfoque de suscripción voluntaria para el remarketing para los visitantes de su sitio web, el remarketing podría volverse más eficiente. Puede estar seguro de que los usuarios de sus listas tomaron la decisión consciente de optar por estar allí. Tener sistemas implementados para organizar y auditar sus propios datos también elimina gran parte del ruido en los datos; eliminando datos redundantes, obsoletos y triviales (ROT). Tus datos serán oro, querrás protegerlos y tu equipo será aún más eficiente por ello.

No somos abogados; no podemos ayudarlo a auditar y lograr el cumplimiento de la seguridad cibernética, pero podemos crear un sitio web excelente que cumpla con los requisitos de GDPR, y podemos trabajar junto con su equipo de administración de datos para crear un entorno digital que generará confianza del consumidor en su marca y cumplirá sus objetivos comerciales.