¿Qué es el GDPR y porque se puede aplicar en todo el mundo?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Qué es el GDPR y porque se puede aplicar en todo el mundo?

¿Qué es el GDPR y porque se puede aplicar en todo el mundo?

GDPR

GDPR

El Reglamento de Protección de Datos (GDPR) sustituye a la actual Directiva que lo aplica. Se pondrá en marcha a partir del 25 de mayo de 2018, pero sí lo requieren las organizaciones pueden empezar a utilizarlo ahora. Deberá tener en cuenta algunas obligaciones y los requisitos necesarios para ponerlos en práctica.

¿Qué son los datos personales?

Los datos personales es cualquier información relativa a una persona física identificada o identificable. Una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular con referencia a un número de identificación, a los diferentes factores de identificación física o identificación social.

¿Cuál es el Reglamento de Protección de Datos General de la Unión Europea?

Desde el año 1995, la legislación europea no ha actualizado la antigua directiva. Dicha directiva se adaptó a los países miembros, lo que resulta en una diferenciación de las normas entre los distintos países de la Unión Europea.

La nueva regulación fue aprobada el pasado 14 de abril de 2016, por el Parlamento Europeo y el Consejo de Europa. Se puede aplicar directamente en cada país, lo que facilita la coherencia de las normas entre las naciones sobre los derechos de privacidad de los ciudadanos.

Algunos de los puntos más relevantes son los siguientes:

  • Tiene en cuenta la naturaleza y finalidad de uso de datos, tanto los que determinan la finalidad como los medios del tratamiento de datos personales. Puede ser manejado para ser compatible con el GDPR de la UE, tendrá que poner en práctica todas las medidas organizativas y técnicas para conseguir el nivel adecuado de seguridad de los datos en términos de confidencialidad, integridad, disponibilidad y capacidad de recuperación de los sistemas que soportan, así como la validación periódica de la eficacia de estas medidas.
  • Más allá de las organizaciones de la UE, la GDPR abarca organizaciones de fuera de la Unión Europea (UE) que ofrecen bienes o servicios a los interesados de la UE de forma gratuita, o que se encargan de vigilar el comportamiento de los interesados en la UE.
  • Por el nuevo reglamento, las empresas tienen que reducir al mínimo la recogida y retención de datos y obtener el consentimiento de los consumidores en el tratamiento de los datos. En otras palabras, disminuir al mínimo la recopilación de datos de consumo, reducir al mínimo con el que se comparten datos y reducir al mínimo el tiempo que se mantiene. El objetivo es que las empresas sólo recojan o almacenen la información que necesitan para el fin previsto, en particular con respecto a los datos personales.
  • El GDPR ha reforzado la directiva anterior. Favorece el derecho de que el propietario de los datos personales solicite que sean eliminados, incluyendo los datos que se encuentran publicados en la web. El GDPR establece que el control tendrá la obligación de borrar los datos personales sin demora indebida, especialmente en relación con los datos personales que se recogen cuando el titular de los datos era un niño, y el interesado tiene derecho a obtener desde el controlador de la supresión de datos personales en un tiempo oportuno.
  • En el caso de que se realice una violación de los datos personales, la organización deberá notificar tal evento a la Autoridad de Protección de Datos, dentro de las 72 horas después de haber detectado la violación. La notificación es obligatoria de los individuos afectados y depende de la posibilidad de no autorizar el acceso a la información.
  • Si la empresa trata con categorías especiales los datos personales, es necesario nombrar a un responsable de la protección de datos como parte de su junta.
  • Si no se cumplen las medidas establecidas, se establecen sanciones económicas elevadas.

¿Mi organización tiene por qué ser compatible GDPR?

Existen dos tipos de responsabilidades en materia de protección de datos personales:

  • Datos controlados
  • Procesadores de datos

También se deberá señalar que los datos personales de los empleados se encuentran incluidos en el ámbito de la aplicación de este reglamento.

Lo que las empresas necesitan para ser compatibles con GDPR es:

  • Ser empresas establecidas en la Unión Europa, independiente de si el procesamiento se lleva a cabo dentro de la UE o no.
  • Ser empresas que no están establecidas en la Unión Europea que ofrezcan bienes o servicios dentro de la UE o a individuos de la UE.

¿Cómo pueden prepararse las organizaciones?

El impacto de la GDPR es que la protección de los datos personales se debe convertir en un asunto de vital importancia para la alta dirección de las empresas. Es fundamental que se realice la elaboración de las políticas que se basan en un marco de responsabilidad y reglas transparentes para asegurar una respuesta rápida de los incidentes de seguridad y las consiguientes fugas de datos personales.

La adopción de estándares como la ISO 27001 de Seguridad de la Información será la base para conseguir de forma rápida el cumplimiento de la GDPR.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...

Loading Facebook Comments ...