En el artículo anterior vimos que era el GDPR y ahora veremos como saber si afecta a su empresa y los pasos que debe realizar para cumplir con la nueva reglamentación.

Criterios de aplicabilidad de la norma

Como se mencionó anteriormente, los requisitos de GDPR forman parte de un total de 99 artículos, eso es mucha lectura. Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los estados de la UE debe cumplir con el GDPR, incluso si no tienen presencia comercial en la UE. Las empresas están sujetas a GDPR si:

(1) La empresa tiene presencia en un país de la UE;

(2) Incluso si no hay presencia en la UE, la empresa aún procesa datos personales de residentes europeos;

(3) Hay más de 250 empleados; y

(4) Incluso si hay menos de 250 empleados, si el procesamiento de datos afecta los derechos y libertades de sus sujetos de datos

¿Cómo saber si está preparado?

Bueno, las personas y las empresas han tenido casi dos años para descubrir cómo garantizar su cumplimiento, por lo que no debe haber una excusa para no cumplir. Pero, seamos realistas, un gran número de compañías van a ser golpeadas, difíciles. Hoy es el día en que todo ese esfuerzo se transmite al mundo de los consumidores.

# 1-Plan de respuesta a incidentes de incumplimiento de datos

El mayor signo de preparación es contar con un plan de acciòn en caso de violación de datos o un plan de respuesta a incidentes. Si bien la mayoría de las empresas tienen algún tipo de plan implementado, deberán revisarlo, enmendarlo y actualizarlo, asegurando el pleno cumplimiento de los requisitos de GDPR.

Esto es solo la mitad de la batalla. Es mejor que esté preparado para promulgarlo cuando se produzca una violación de datos. Probar estos planes es esencial; de lo contrario, ¿cómo sabrá si es realmente ideal? El GDPR requiere que las empresas informen incumplimientos dentro de las 72 horas o 3 días. Lo bien que el equipo de respuesta de datos pueda implementar el plan y minimizar cualquier daño afectará la cantidad de una multa y / o penalización de una compañía.

# 2 – Contratar a un Oficial de Protección de Datos (DPO)

El GDPR requiere que un oficial de protección de datos (DPO) sea designado y contratado. Sin embargo, no aborda si realmente necesita ser una posición discreta, por lo que, presumiblemente, una empresa podría nombrar a un funcionario que ya tenga un rol similar a ese puesto, siempre que puedan demostrar su protección de la información de identificación personal. (PII), sin conflicto de intereses. GDPR permite que el DPO funcione para múltiples organizaciones, brindando soporte para un “DPO virtual” como una opción.

# 3 -Crear un registro o registro de riesgos y progreso de cumplimiento

Ahora que el reloj ha marcado su último tick, es mejor que las empresas tengan un registro actualizado de los progresos realizados durante los últimos dos años, mostrando su identificación de todos los riesgos y medidas que toman en sus intentos de minimizar o eliminar esos riesgos. Este registro, o Registro de actividades de procesamiento (“RoPA”), se requiere en el Artículo 30 de GDPR, centrándose en el inventario de aplicaciones y programas de riesgo que pueden estar operando.

Sin embargo, otra pregunta se presenta en términos del guardián del registro y cómo se mantiene. El miedo a la manipulación, la alteración y el fraude aún son cuestiones que deben abordarse. En la era de blockchain, tener un registro almacenado que está almacenado en la cadena de bloques que no puede ser manipulado o alterado podría ser extremadamente útil para las empresas que avanzan.

¿Cómo afecta esto a empresas por fuera de la Unión Europea?

Cuando se trata de empresas por fuera de la unión europea, los requisitos de GDPR les obligarán a cambiar la forma en que procesan, almacenan y protegen los datos personales de los clientes. Las empresas deben proporcionar un nivel “razonable” de protección de datos y privacidad a sus clientes, garantizando su almacenamiento solo con el consentimiento individual de esos clientes y no más de lo estrictamente necesario para que se procesen los datos. Sin embargo, la regulación no define qué significa “razonable” en términos de garantizar el cumplimiento, por lo que esto podría presentar complicaciones futuras cuando ocurren incidentes y si una organización tomó suficientes medidas para garantizar un daño mínimo.

A petición, las empresas deben borrar los datos personales, a diferencia de la brecha de datos de Cambridge Analytica y Facebook que aún se está desarrollando. El derecho al olvido es un derecho poderoso y un derecho al que todos los ciudadanos tenemos derecho. Sin embargo, GDPR no reemplaza ningún requisito legal actual donde se requiere que una organización mantenga ciertos datos, como los requisitos HIPAA.

¿Cómo afecta esto a las empresas de redes sociales?

Su mente probablemente saltó a Facebook y cómo esto afectará a las redes sociales. Como hemos visto desde la audiencia en el Congreso de Mark Zuckerberg en Capitol Hill hace dos meses, muchas compañías de redes sociales y redes en línea ya han actualizado sus políticas de privacidad y términos de servicio en anticipación a la fecha límite de hoy.

Los reguladores europeos analizarán minuciosamente la respuesta de Facebook a raíz del incumplimiento de Cambridge Analytica y las preocupaciones persistentes sobre la recopilación de datos de la empresa. Lo mismo con Twitter, pero ningún gran escándalo los ha puesto en el punto de mira público.

Representante responsable de la UE

Si crees que las plataformas de redes sociales están exentas de esta regulación, piensalo de nuevo. GDPR requiere que las empresas de medios sociales tengan un representante designado de la UE que pueda ser responsable del cumplimiento de la GDPR de la organización en Europa.

Claro Aviso de Privacidad

Después de escuchar el testimonio de Zuckerberg, está claro que a los usuarios se les debe presentar un aviso de privacidad simple y claro que realmente puedan entender, no algo que parezca una colección masiva de libros de Harry Potter unidos.

El derecho a ser olvidado

Será interesante ver cómo estas empresas tratarán con las solicitudes de los usuarios para la eliminación de ciertos datos personales. Ya no es seguro para una empresa suponer que sus clientes o usuarios están contentos con la retención de sus datos personales, ya que la mayoría de ellos no tienen idea de que se mantiene hasta que desafortunadamente suceda algo.

¿Qué sucede si no cumple con GDPR?

Pregúntale a Facebook y Google que fueron golpeados con una demanda colectiva de $ 8.8 mil millones (Facebook, 3.9 mil millones de euros; Google, 3.7 mil millones de euros) hoy por el activista de privacidad austriaco, Max Schrems, alegando violaciones de GDPR en lo que respecta a la opción suscribirse/desuscribirse Específicamente, la demanda alega que la forma en que estas compañías obtienen el consentimiento del usuario para las políticas de privacidad es una opción de “todo o nada”, solicitando a los usuarios que marquen un pequeño recuadro que les permita acceder a los servicios. ¿Qué sucede si no eliges “Acepto”? Se te niega el servicio. Una clara violación de las disposiciones del GDPR por expertos en privacidad y la UE.

El incumplimiento de la GDPR tiene fuertes penalizaciones de hasta € 20 millones, o el 4% de la facturación anual global, lo que sea mayor. Los informes estiman que aproximadamente la mitad de las empresas de los EE. UU. Que deberían cumplir con los requisitos de GDPR para hoy, no lo serán. Hay más que todos los correos electrónicos que llegan a su bandeja de entrada sobre los términos de privacidad actualizados.

Según una encuesta de PwC de diciembre de 2016, el 68 por ciento de las empresas con sede en Estados Unidos espera haber gastado entre $ 1 y $ 10 millones para cumplir con estos requisitos de GDPR.

Sin embargo, algunos sitios web en los EE. UU. Han decidido bloquear sus servicios por completo en lugar de cumplir con las nuevas reglamentaciones, quedando completamente a oscuras. Decenas de periódicos estadounidenses están actualmente bloqueados en Europa y los servicios web como Instapaper han suspendido sus operaciones en la Unión Europea en el futuro previsible.

Facebook y Google ya son golpeados con una demanda de $ 8,8 mil millones por violaciones de la GDPR

El GDPR no es una broma y no tiene nada de que perderse. Ni siquiera un día ha pasado, y hoy es un gran día para todos los negocios y organizaciones del mundo. Esperemos que las compañías a las que somos leales sean leales a nosotros.