Una guía práctica para el cumplimiento de la protección de datos: comprensión y aplicación de los principios y requisitos del RGPD

La protección de datos se ha convertido en una máxima prioridad para empresas y particulares. Con regulaciones complejas como el Reglamento General de Protección de Datos (GDPR), navegar por el cumplimiento puede ser un desafío. De hecho, Hasta ahora se han emitido más de 359 millones de euros en importantes multas conforme al RGPD. Debe comprender sus obligaciones y cumplir con estas regulaciones mientras protege la privacidad de sus clientes y empleados.

Y aunque muchas organizaciones afirman estar preparadas para normativa de protección de datos, es posible que todavía tengan que tomar todas las medidas necesarias para justificar tales afirmaciones.

Según una encuesta realizada a 205 líderes empresariales en el Reino Unido y EE. UU. por el bufete de abogados Womble Bond Dickinson, aunque muchas empresas podrían implementar acciones externas, como colocar un banner de cookies en su sitio web o actualizar la privacidad políticas, solo el 34% de todos los encuestados dicen haber realizado un mapeo de datos y comprender las prácticas de datos en toda la organización.

“Las empresas a menudo carecen de recursos y tienen que centrarse en cambios cosméticos actualizando el contenido público; sin embargo, esto no elimina la inevitable necesidad de desarrollar requisitos de back-end para poner realmente en funcionamiento los requisitos de cumplimiento”, afirma Tara Cho, socia y presidenta del equipo de Privacidad y Ciberseguridad de Womble Bond Dickinson (EE.UU.).

Entonces, ¿cómo logran las organizaciones atravesar el laberinto de normas de protección de datos?

Principios y cumplimiento del RGPD

La RGPD describe siete principios vitales del procesamiento de datos: licitud, equidad, transparencia, limitación de propósito, minimización de datos, precisión, limitación de almacenamiento, seguridad (integridad y confidencialidad) y responsabilidad. Estos principios forman el núcleo del enfoque de procesamiento de datos de una organización. Los datos personales deben recopilarse y procesarse de manera legal, justa y transparente. Debe obtenerse para fines específicos y legítimos y no utilizarse de manera incompatible. Los datos recopilados deben ser relevantes, limitados y precisos. Se deben tomar medidas para rectificar rápidamente las inexactitudes.

La información de los interesados ​​debe conservarse sólo en la medida necesaria para fines de procesamiento. Se deben implementar medidas de seguridad para proteger contra procesamiento, pérdida o daño no autorizado. Las organizaciones deben demostrar cumplimiento.

Aparte de estos principios, el RGPD cubre varios aspectos, incluidos escenarios especiales de procesamiento, transferencias de datos, recursos, responsabilidad y sanciones.

Según Louise Brooks, jefa de consultoría de DQM GRC, el RGPD del Reino Unido se basa en principios, lo que significa que no tiene una lista prescrita de lo que se debe y no se debe hacer. 

“Una organización debe considerar el marco que proporciona el RGPD del Reino Unido e implementarlo según corresponda al contexto de su negocio. Descubrimos que los clientes pueden tener dificultades con este concepto”, afirma.

“A veces también puede resultar difícil establecer una cultura de cumplimiento positiva que permita a las organizaciones tomar las decisiones correctas en materia de protección de datos. A menudo encontramos que la protección de datos es vista como un obstáculo, más que como un facilitador, para los objetivos comerciales. La cultura adecuada en una organización facilitará el trabajo colaborativo y garantizará que la protección de datos sea la base sobre la que se basan todas las actividades comerciales que involucran datos personales”.

Derechos individuales

El RGPD proporciona varios derechos a las personas para ayudarles a controlar sus datos personales.

Estos derechos incluyen el derecho a ser informado, el derecho de acceso, el derecho de rectificación, el derecho de supresión (también conocido como derecho al olvido), el derecho a restringir el procesamiento, el derecho a la portabilidad de los datos y el derecho de oposición.

Las organizaciones deben ofrecer detalles claros de los datos: qué se recopila, el uso y el intercambio. Los individuos pueden solicitar sus datos procesados para controles de exactitud y legalidad. Las imprecisiones se pueden corregir. Las solicitudes de eliminación de datos se aplican cuando no son necesarias o se retira el consentimiento.

El uso de datos personales puede estar restringido, por ejemplo, mediante precisión cuestionada o procesamiento ilegal. Las personas pueden reutilizar sus datos, transfiriéndolos de forma segura entre organizaciones. Algunos procesos de datos, como el marketing, pueden rechazarse. Estos derechos amplifican el control de los datos personales, promoviendo la equidad y la transparencia.

Brooks dice que cuando se trata de solicitudes de derechos de los interesados, "una organización debe comenzar por comprender qué derechos se aplican a cuál de sus actividades de procesamiento".

"Esto es importante porque ayudará a las organizaciones a comprender dónde se encuentran los datos del individuo dentro de la organización, por ejemplo, en qué sistemas, qué equipos los utilizan y para qué se utilizan", añade.

Base legal para el procesamiento

El RGPD exige bases legales válidas para el procesamiento de datos personales, que abarcan seis bases: consentimiento, ejecución del contrato, interés legítimo, interés vital, requisito legal e interés público.

Consentimiento Implica un permiso explícito para un procesamiento de datos específico, caracterizado por la libertad, la especificidad, la información y la claridad.

La ejecución de un contrato requiere el procesamiento de datos para cumplir o iniciar un contrato a solicitud de un individuo.

Interés legítimo justifica el procesamiento de datos para fines organizacionales o de terceros a menos que sean anulados por derechos individuales.

Interés vital Implica el tratamiento de datos para salvaguardar la vida de una persona o de otra persona.

Requerimiento legal exige el procesamiento de datos para cumplir con las obligaciones legales de la organización.

Interés público implica el procesamiento de datos para el desempeño de funciones públicas o el ejercicio de poderes oficiales.

Antes de procesar datos personales, las organizaciones deben determinar y documentar sus base legal. Esta base tiene sus raíces en el RGPD u otras leyes relevantes dentro de la Unión Europea o los Estados miembros.

Seguridad de Datos

El RGPD hace hincapié en la seguridad de los datos y exige medidas de procesamiento sólidas. Estos garantizan la protección contra el procesamiento no autorizado, pérdidas y daños, utilizando medidas técnicas y organizativas adecuadas.

Las organizaciones consideran análisis de riesgos, políticas y acciones físicas/técnicas para la seguridad de los datos. Las medidas garantizan la confidencialidad, integridad y recuperación oportuna de los datos después de incidentes.

Ejemplos: controles de acceso, prevención de pérdida de datos, cifrado, planes de respuesta a incidentes, gestión de riesgos de terceros y acciones físicas/lógicas.

La revisión y las pruebas periódicas son esenciales para una seguridad eficaz. El cumplimiento fomenta la confianza con las partes interesadas, generando confianza.

Responsabilidad y gobernanza

El principio de responsabilidad es uno de los principios críticos del RGPD. Las organizaciones deben asumir la responsabilidad del procesamiento de datos personales y cumplir con otros principios del RGPD. Esto incluye la obligación de demostrar el cumplimiento mediante procedimientos y rutinas documentados.

Las organizaciones deben ser responsables de sus actividades de recopilación, procesamiento y almacenamiento de datos y deben poder demostrar que han tomado las medidas necesarias para cumplir con las obligaciones del RGPD. Esto se puede lograr utilizando estrategias técnicas y organizativas adecuadas. Estas estrategias abarcan;

• La adopción y ejecución de políticas de protección de datos
• Adoptar la filosofía de "protección de datos desde el diseño y por defecto"
• Establecer contratos formales con entidades de terceros que manejan datos personales.
• Mantener registros completos de las actividades de procesamiento
• Implementar protocolos de seguridad adecuados
• Documentar y comunicar violaciones de datos personales según sea necesario
• Realizar evaluaciones del impacto de la protección de datos en situaciones que implican riesgos sustanciales para los derechos de las personas.
• Designar un delegado de protección de datos cuando sea necesario
• Adherirse a los códigos de conducta pertinentes y al mismo tiempo inscribirse en programas de certificación.

Las obligaciones de rendición de cuentas son continuas y las organizaciones deben revisar y actualizar sus medidas a intervalos apropiados. Implementar una gestión de privacidad El marco puede incorporar medidas de rendición de cuentas y crear una cultura de privacidad en toda una organización. La rendición de cuentas puede ayudar a generar confianza entre las personas y aliviar las medidas de aplicación de la ley.

Transferencias internacionales de datos

El RGPD cubre la transferencia de datos personales a terceros países u organizaciones internacionales. Las transferencias fuera del EEE están restringidas a menos que se apliquen protecciones o excepciones.

Los controladores y procesadores de datos necesitan un acuerdo con criterios definidos según el RGPD. La transferencia de datos personales a países sin una protección adecuada requiere “salvaguardias adecuadas”, que garanticen derechos y recursos exigibles para las personas.

Las salvaguardias adecuadas pueden incluir mecanismos tales como cláusulas contractuales estándar, reglas corporativas vinculantes o códigos de conducta o mecanismos de certificación aprobados. Además, varias excepciones permiten la transferencia de datos personales fuera del EEE sin las salvaguardias adecuadas, como el consentimiento explícito del individuo, la ejecución de un contrato, razones importantes de interés público o el establecimiento, ejercicio o defensa de reclamaciones legales.

Con la llegada del nuevo marco de privacidad de datos UE-EE. UU. y algunas organizaciones alejándose de él cláusulas contractuales estándar (SCC), es importante tener en cuenta que se puede utilizar un nuevo mecanismo llamado "puente de datos" para transferir datos personales entre la UE y los EE. UU. El Reino Unido y Estados Unidos han llegado a un compromiso de principio para crear un “puente de datos” entre los dos países Este mecanismo facilitaría que alrededor de 55,000 empresas del Reino Unido transfieran datos libremente a organizaciones estadounidenses certificadas sin burocracia ni regulaciones engorrosas..

Las organizaciones deben asegurarse de cumplir con las reglas sobre transferencias internacionales de datos y utilizar mecanismos apropiados para garantizar el cumplimiento.

exenciones

El RGPD tiene varias exenciones que pueden aplicarse en determinadas circunstancias. Estos incluyen exenciones para seguridad nacional y aplicación de la ley, ciertos tipos de datos personales, periodismo y expresión creativa, investigación científica o histórica, actividades fuera del alcance de la legislación de la UE, información que no está en un sistema de "archivo", finanzas, gestión y negociaciones. interés público y uso doméstico.

Por ejemplo, el RGPD no se aplica si una organización no opera dentro de la UE, no procesa datos personales o si solo procesa datos para fines nacionales. Además, existen exenciones para el tratamiento de datos personales con fines periodísticos o para expresión académica, artística o literaria. propósitos.

Las organizaciones deben considerar cuidadosamente si se aplica alguna exención a sus actividades de procesamiento y deben cumplir con todos los demás requisitos del RGPD si no se aplica ninguna exención.

Cumplimiento de ISO 27001 y RGPD

ISO 27001 es un estándar internacional para la Seguridad de la Información. Sistema de Gestión (SGSI) que proporciona un excelente punto de partida para lograr los requisitos técnicos y operativos necesarios para reducir el riesgo de una infracción. El Reglamento General de Protección de Datos de la UE (GDPR) obliga a las organizaciones a implementar medidas técnicas y organizativas aplicables, incluidas políticas, procedimientos y procesos, para salvaguardar los datos personales que proceso. La aplicación de ambos estándares le ayudará a cumplir y demostrar su cumplimiento de los requisitos de privacidad y seguridad de la información del RGPD.

Implementación de un SGSI alineado con ISO 27001 puede ayudar a las organizaciones a lograr el cumplimiento del RGPD de manera rentable al proporcionar un marco para gestionar los riesgos de seguridad de la información y demostrar el cumplimiento de los requisitos técnicos y organizativos del RGPD. Al implementar ambos estándares, las organizaciones pueden garantizar que cumplen con los requisitos de privacidad y seguridad de la información del GDPR y otras leyes de protección de datos, al tiempo que minimizan los costos.

Sin embargo, hay que reconocer que estos estándares no cubren todos los aspectos del RGPD, como el consentimiento, la portabilidad de los datos, el derecho al olvido y las transferencias internacionales de datos. Por lo tanto, las organizaciones deben complementar sus marcos ISO con otras medidas para garantizar el pleno cumplimiento del RGPD.

Principios y requisitos básicos del RGPD para lograr el éxito

Las normas de protección de datos como el RGPD pueden parecer complejas, pero comprender los principios básicos es vital. Con esto, las organizaciones pueden garantizar el cumplimiento y salvaguardar la privacidad de los clientes y del personal.

Recuerda estos aspectos:

• Conocer bases lícitas de tratamiento de datos.
• Datos personales seguros.
• Defender la responsabilidad.
• Obedecer las normas internacionales de transferencia de datos.
• Respete los derechos individuales y las exenciones del RGPD.

Los pasos prácticos implican:

• Regular evaluaciones de riesgo.
• Robustas medidas de seguridad.
• Registros de procesamiento documentados.
• Comunicación clara con las personas.
• Actualizaciones de cumplimiento consistentes.

Al cumplir de manera proactiva, crece la confianza entre las partes interesadas, minimizando los riesgos de cumplimiento.