No solo en Europa: las nuevas normas de protección de datos de la UE pueden afectar a las empresas estadounidenses

Consultoría Internacional | Práger Metis | 05 de junio de 2018

Si bien la Unión Europea (UE) acaba de comenzar a aplicar activamente un nuevo y amplio régimen de privacidad de datos, esa noticia generó mucha menos visibilidad en los Estados Unidos, en gran parte porque muchas personas asumen que sus intereses comerciales o personales no se ven afectados por el cambio. Pero confiar en esa suposición podría tener consecuencias costosas.

El Reglamento General de Protección de Datos (GDPR) fue aprobado por el Parlamento de la UE en abril después de cuatro años de debate sustantivo y mejoras. El objetivo era triple: unificar las normas de privacidad de datos en toda la región de la UE, brindar a los usuarios en línea un mayor control, conocimiento y derechos con respecto al manejo de sus datos personales, y especificar cómo las empresas y otras organizaciones deben manejar los datos personales contenidos en sus sistemas1

Para los líderes empresariales con sede en los EE. UU., el elemento procesable de esta nueva ley se puede resumir en una cláusula: el RGPD se aplica si “su empresa está establecida fuera de la UE pero ofrece bienes o servicios, o supervisa el comportamiento de las personas dentro de la UE. .”2 Si se determina que las empresas no cumplen, la UE puede imponer una multa de 20 millones de euros (23.3 millones de dólares) o hasta el 4 por ciento de los ingresos anuales de una entidad.3 De hecho, el primer día de la aplicación del RGPD, los grupos de defensa de la privacidad de datos presentaron una serie de quejas contra varias empresas de redes sociales destacadas con sede en EE. UU., incluidas Google, Facebook e Instagram. Si se confirman esas quejas, las multas totales podrían superar los $ 9 mil millones.4  La fecha de cumplimiento del RGPD fue el 25 de mayo de 2018.

Las siguientes son algunas preguntas clave que los líderes empresariales deben considerar con respecto a las regulaciones de GDPR y consejos rápidos sobre cómo evaluar la exposición y el riesgo:

¿Su organización posee datos personales aplicables?

Los reguladores de la UE definen estos datos como cualquier detalle que pueda vincularse a una persona viva identificada (o identificable), como nombre, dirección, números de teléfono, ingresos, información de IP de la computadora, registros de voz, registros de salud u otra información personal relevante revelada a: o registrado por – una organización. Cualquier información "desidentificada" que aún pueda reconstruirse potencialmente en datos vinculados personalmente también es un juego justo para la regulación de GDPR. Sin embargo, la información hecha "irreversiblemente anónima" no se considera información personal por parte de la UE y, por lo tanto, queda fuera del alcance de las reglas de GDPR.5

  • Consejo práctico: En el mercado digital actual, las corporaciones multinacionales no son las únicas entidades con alto riesgo de exposición al RGPD. Por ese motivo, es aconsejable que cualquier empresa mediana o grande construya un "grupo de datos personales", en el que toda la información identificable en toda la empresa pueda revisarse, clasificarse y reconciliarse con su propósito y fuente. Si las personas que residen en la UE están identificadas en este grupo de datos, entonces la organización deberá confirmar que si la información se recopiló bajo un marco voluntario o de aceptación, y que se cumple al menos uno de los siguientes criterios:
    • Que el individuo dio su consentimiento para usar su información para un "propósito específico y legítimo". Esto significa que la organización no puede utilizar ninguna información personal para fines más allá del consentimiento otorgado originalmente.
    • Que exista una obligación contractual entre la organización y el particular.
    • Que exista una obligación legal entre la organización y el individuo.
    • Que la información es necesaria para proteger intereses vitales del individuo.
    • Que la información es necesaria para llevar a cabo tareas de interés público.
    • Finalmente, que la información es necesaria para los intereses legítimos de la organización (sin embargo, si existe alguna duda de que los derechos de privacidad de la persona superan los intereses de la organización, entonces los datos no pueden ser procesados ​​o retenidos).6

¿Es su organización un controlador de datos personales?

Según las nuevas regulaciones, un controlador de datos es aquel que “determina los fines y los medios por los cuales se procesan los datos personales”. Por ejemplo, un controlador de datos podría ser el área de marketing de una organización, que con frecuencia recopila una amplia gama de información personal de clientes, prospectos activos en contacto con vendedores y consultas en línea sobre productos o servicios. Esta área normalmente ejerce la libertad sobre cómo se procesa o comparte ese detalle.

  • Consejo práctico: Según el RGPD, los controladores de datos deben poder demostrar que todos los datos personales se procesan "de manera legal, justa y transparente" y que el uso de los datos se limita a "fines específicos, explícitos y legítimos".7 Por lo tanto, las organizaciones deben desarrollar (o modificar) un código de conducta que responsabilice al personal y a terceros por cumplir con estos estándares y ajustar sus controles internos para garantizar el cumplimiento continuo de estos objetivos.

¿Es su organización un procesador de datos personales (o tiene contrato con dicho recurso)?

Un procesador de datos definido por la UE como una entidad que "procesa datos personales en nombre del controlador".Para aprovechar el ejemplo anterior, un departamento de marketing que es un controlador de datos podría externalizar los servicios de redes sociales a un tercero. En ese caso, la empresa de redes sociales podría considerarse un procesador de datos a efectos del RGPD.

  • Consejo práctico: Si bien los procesadores de datos suelen estar un paso alejados de la recopilación inicial de información personal, eso no los exime de las reglas de GDPR. De hecho, estas nuevas regulaciones exigen que los controladores de datos seleccionen procesadores que acepten garantías específicas de rendimiento y privacidad de datos. La UE agrega que cualquier contrato debe incluir ciertas cláusulas obligatorias, como el requisito de que el procesador solo usará datos personales dentro de las instrucciones documentadas del controlador.9 El incumplimiento de estas garantías puede someter al encargado del tratamiento a importantes multas.

¿Está preparada su organización para adaptarse a las solicitudes de privacidad específicas de las personas?

Según las regulaciones de GDPR, se detallan tres derechos principales para ayudar a impulsar el control individual sobre la información privada. Éstos incluyen:

Derecho de acceso y portabilidad. Las personas tienen derecho a acceder a cualquier dato personal mantenido por una organización. Cuando una persona realiza una solicitud de este tipo, la entidad debe confirmar si está procesando o no sus datos personales, informarle sobre los fines para los que se procesa la información y proporcionar una copia gratuita de los datos que se procesan en un formulario de fácil acceso. Además, cualquier individuo tiene el derecho bajo GDPR de solicitar que sus datos personales sean transmitidos a otra organización sin cargo.

Derecho al olvido. Según el RGPD, una persona tiene derecho a solicitar que sus datos personales se borren de todos los sistemas de procesamiento. Sin embargo, una organización puede denegar esa solicitud bajo ciertas condiciones, como cuando el procesamiento es necesario para mantener la libertad de información o expresión, cuando el procesamiento de dicha información es legalmente requerido (o necesario para respaldar un reclamo legal), o cuando el procesamiento de dicha información es de interés público.

Derecho de rectificación y oposición. Cualquier individuo que crea que sus datos personales son inexactos puede solicitar que se realicen correcciones de manera oportuna. Las personas ahora también tienen derecho a oponerse al procesamiento de sus datos, a menos que la organización pueda demostrar un "interés legítimo" en ese uso específico de los datos. Por otro lado, si el individuo se opone al uso de datos personales para fines de marketing directo, la entidad debe cumplir con esa solicitud y dejar de procesar la información para ese fin.10

  • Consejo práctico: Como se señaló anteriormente en el artículo, la creación y revisión de un grupo de datos personales puede contribuir en gran medida a identificar la posible exposición al RGPD de una organización, al mismo tiempo que valida áreas de interés legítimo para el uso de información personal. Como paso de seguimiento, considere crear herramientas internas de revisión y respuesta para manejar solicitudes individuales relacionadas con el uso y procesamiento de datos personales.

¿Tu organización necesita un Delegado de Protección de Datos?

En muchos casos, particularmente en negocios basados ​​en datos con una exposición digital sustancial, la respuesta es "sí". La Asociación Internacional de Profesionales de la Privacidad estima que el nuevo régimen GDPR creará 75,000 28,000 puestos de trabajo para oficiales de protección de datos (DPO) en todo el mundo, con XNUMX XNUMX solo en Europa.11

Los reguladores europeos ven al DPO como el conducto a través del cual debe fluir todo el cumplimiento relacionado con el RGPD. En términos generales, la UE dice que las empresas que "regular o sistemáticamente" monitorean a las personas o procesan categorías especiales a través del procesamiento de datos personales a gran escala deben designar un DPO. Si una organización cumple con los criterios para designar a un RPD, esa persona también es responsable de otras obligaciones del RGPD basadas en el riesgo, como implementar herramientas de protección de datos basadas en el diseño y en los valores predeterminados, y garantizar notificaciones adecuadas a las personas afectadas en caso de una filtración de datos. y determinar si la organización necesita realizar una evaluación de impacto de la protección de datos.12 

  • Consejo práctico: La UE define operaciones a gran escala como entidades de procesamiento con más de 250 empleados u otras organizaciones que utilizan datos personales para 5,000 o más sujetos en cualquier período de 12 meses.13

Claramente, hay muchas empresas con sede en los EE. UU. que tendrán una exposición mínima al RGPD. Pero para empresas grandes o medianas con operaciones globales definidas o empresas más pequeñas con interacciones conocidas o potenciales con consumidores europeos, una pequeña inversión para determinar el riesgo ahora puede eliminar la posibilidad de problemas mucho más costosos en el futuro.

Notas finales

1) "2018 Reforma de las Normas de Protección de Datos de la UE,” (2018) Comisión Europea

2) "El RGPD: nuevas oportunidades, nuevas obligaciones,” (2018) Comisión Europea

3) "Preguntas frecuentes sobre el RGPD entrante,” (2018) Comisión Europea

4) Keane, S., “RGPD: “Google y Facebook enfrentan hasta $9.3 mil millones en multas el primer día de la nueva ley de privacidad(25 de mayo de 2018) CNET

5) "El RGPD: nuevas oportunidades, nuevas obligaciones,” (2018) Comisión Europea

6) Ibíd.

7) "¿Cuál es la diferencia entre un controlador y un procesador en GDPR?Revista HIPAA

8) "¿Qué es un controlador de datos o un procesador de datos??” (2018) Comisión Europea

9) "El RGPD: nuevas oportunidades, nuevas obligaciones,” (2018) Comisión Europea

10) Ibíd.

11) Rodríguez, S., “Rise of the Data Protection Officer, el ticket tecnológico más candente de la ciudad”, (14 de febrero de 2018) Reuters

12) "El RGPD: nuevas oportunidades, nuevas obligaciones,” (2018) Comisión Europea

13) Kaelin, M., “GDPR: una hoja de trucos,” (24 de mayo de 2018) TechRepublic

2020-01-03T11:56:17-05:00

Más información

Asesor
11 de octubre de 2022
diane l walsh
|

Cómo involucrar a toda su empresa para hacer crecer las redes sociales

Hacer crecer su presencia y alcance en las redes sociales es ahora más crítico que nunca para una empresa de servicios profesionales. Sus conductos más cruciales de esto son los miembros de su propio equipo. Entiendo que es mucho más fácil decirlo que hacerlo. Sin embargo, puede implementar varios procesos y comunicaciones para animar a los miembros del equipo a participar. 

Leer más »

© 2022 Prager Metis CPA. Reservados todos los derechos.