El 25 de mayo de 2018, la UE sustituirá su Directiva de Protección de Datos y aplicará controles mucho más estrictos sobre el tratamiento de la información personal y la privacidad individual. Aunque este reglamento es de la UE, podría tener efectos significativos en quienes hacen negocios con los clientes de la Unión Europea.
Esto significa que miles o incluso millones de empresas de fuera de la UE podrían verse afectadas por la nueva normativa y, por lo tanto, esas empresas deberían saber qué es y cómo les afecta. En este artículo, discutiremos brevemente lo que significan las nuevas regulaciones de GDPR para las empresas que operan fuera de la Unión Europea y que tienen clientes dentro de ella y cómo pueden cumplirlas.
Así que, vamos a saltar directamente.
¿Qué es GDPR?
Anteriormente hemos entrado en detalles sobre lo que es GDPR y cómo afecta tanto a los datos de IO como a los datos de videovigilancia en otros artículos que pueden leer aquí y aquí, sin embargo, a los efectos de este artículo, explicaremos brevemente lo que es GDPR en algunos puntos de las viñetas.
- El Reglamento General de Protección de Datos (GDPR) es un reglamento europeo que fue aprobado el 12 de abril de 2016 y entra en vigor después de un período de transición de dos años en el que se aconsejó a las empresas que cumplieran con los requisitos. El 25 de mayo de este año se pueden hacer cumplir las regulaciones del GDPR.
- La idea detrás de esta nueva regulación es estandarizar las leyes de privacidad de datos en toda Europa y dar mucho más poder y protección a las personas que viven en la Unión Europea. Esto parece justo a tiempo tras el escándalo de Facebook/Cambridge Analytical, en el que millones de usuarios tuvieron acceso a sus datos y los utilizaron sin su consentimiento o permiso explícito.
- el GDPR también pretende ampliar la normativa vigente y mejorar las prácticas de tratamiento de datos en toda Europa para mantenerse al día con el cambiante panorama del tratamiento de datos y la privacidad. Para ello, ha otorgado poderes mucho mayores a las personas cuyos datos se recogen y utilizan.
- El GDPR también exigirá a las empresas que adquieran y demuestren el consentimiento de un sujeto para que sus datos sean procesados y el consentimiento no puede presumirse a través de individuos que no impugnen el uso de sus datos. También establece que los niños menores de 13 años no pueden dar su consentimiento en su propio nombre.
- El incumplimiento de la normativa puede acarrear multas de hasta 20 millones de euros o el 4% de la facturación global anual, dependiendo de cuál sea mayor. Multas como estas demuestran el tipo de dientes que tendrán las regulaciones de GDPR y aseguran que las empresas sepan lo importante que es cumplirlas.
¿Qué significa esto para las empresas de fuera de la UE?
Ahora bien, se puede pensar que, debido a que el GDPR es un reglamento de la UE, sólo se aplicaría a las empresas de la UE que operan dentro de la Unión Europea, sin embargo, no es el caso. Las normas generales de protección de datos tienen un mayor alcance territorial, lo que significa que pueden aplicarse a los responsables del tratamiento tanto fuera de la UE como dentro de ella. Esto podría significar enormes multas para cualquier empresa o empresa que no cumpla con la normativa, al mismo tiempo que sigue tratando los datos personales de los individuos con sede en Europa. En algunos casos, las empresas pueden incluso necesitar contratar a un representante de la UE.
Los tipos de empresas y organizaciones no pertenecientes a la UE a las que se aplica el GDPR son las que controlan y realizan cualquier tipo de tratamiento de los datos de los individuos europeos de una manera que se relaciona con cualquiera de ellos;
- Oferta de bienes o servicios a los interesados dentro de la Unión Europea (independientemente de que los bienes o servicios se ofrezcan gratuitamente o con un precio adjunto)
- El seguimiento del comportamiento o de los hábitos en línea de un interesado, siempre que dicho seguimiento tenga lugar dentro de la Unión Europea.
Específicamente, el GDPR amplía la lista de salvaguardias existentes que son apropiadas para que un controlador o procesador de datos proceda a implementar transferencias internacionales de datos. Esto significa que las empresas y las empresas que deseen recopilar o procesar datos de particulares dentro de la UE tendrán que asegurarse de que disponen de todas las salvaguardias aplicables para asegurarse de que cumplen con el RD-PIB. A la luz de esto, muchas empresas se están auditando a sí mismas o están introduciendo normas internas vinculantes de protección de datos que se ajustan a las del Reglamento de Protección de Datos de Peligro.
Con un tiempo limitado para cumplir con la normativa, tanto las empresas europeas como internacionales y las empresas que tratan y manejan los datos personales de los individuos dentro de la Unión Europea están corriendo contra el reloj para cumplir con el plazo del 25 de mayo. Las multas importantes y un daño de reputación extremadamente indeseable en el ámbito de la protección de datos son sólo dos de las muchas razones por las que tanto las empresas de la UE como las de terceros países querrán evitar cualquier irregularidad en los GDPR y, dado que los datos son cada vez más valiosos para casi todos los procesos comerciales e industriales del planeta, uno sólo puede imaginar que harán todo lo que esté en su mano para cumplir con ellos a tiempo.