El Reglamento general de protección de datos entra en vigor en mayo, ¿está preparada su ONG?

Un grupo de personas hablando entre sí

Andrea Simandi y Cameron Birge, Microsoft

¿Qué es el Reglamento general de protección de datos? El Reglamento general de protección de datos es la nueva ley de privacidad de Europa que eleva el nivel de exigencia en cuanto a la protección de los datos personales; es decir, de cualquier dato que pueda vincularse a un individuo.

¿Qué significa esto para una persona o una organización media en términos simples?

El Reglamento general de protección de datos impone nuevas reglas a las compañías, agencias gubernamentales, ONG y otras organizaciones, independientemente de su ubicación, que ofrecen bienes y servicios a las personas en la Unión Europea (UE), o que recopilan y analizan datos relacionados con los residentes en la UE. Una persona media tendrá derechos más explícitos en virtud del Reglamento general de protección de datos para saber quién almacena, procesa y tiene acceso a sus datos personales. Dicho reglamento también permitirá que los residentes en la UE puedan solicitar acceso a sus datos, así como eliminarlos o rectificarlos.

Las organizaciones necesitan revisar sus prácticas de gobierno de datos, deshacerse de los sistemas heredados que almacenan datos innecesarios y eliminar los datos no recopilados según lo prescrito en el nuevo Reglamento general de protección de datos. También deben documentar medidas técnicas y organizativas apropiadas y trabajar solo con proveedores de confianza, o enfrentarse a altos riesgos financieros y de reputación.

¿Por qué la UE puso en marcha el Reglamento general de protección de datos?

En Europa, la privacidad es un derecho fundamental y la UE se preocupa por protegerla. Su filosofía operativa se basa en el concepto de que los datos personales pertenecen al individuo. Esto es diferente de cómo opera Estados Unidos, donde la información recopilada acerca de un individuo se considera propiedad de la organización que la recopila. Las vulneraciones de datos se han convertido en parte de nuestra vida cotidiana, y Europa quiere liderar el camino a nivel internacional para exigir a las compañías que sean más transparentes y respetuosas en relación con el uso de los datos y que inviertan en la seguridad y protección de dichos datos. Cualquier compañía o agencia que recopile o utilice información personal puede hacerlo solo si tiene una base legal para procesar dicha información.

¿Seguirán otros países el ejemplo de la UE y establecerán reglamentos similares?

El Reglamento general de protección de datos se aplica a todo aquel que suministre bienes o servicios a residentes en Europa. Otros países están considerando la implantación de leyes similares con algunas variaciones, ya que algunos países consideran que el Reglamento general de protección de datos es excesivamente prescriptivo.

¿Quién supervisará el cumplimiento del Reglamento general de protección de datos?

Las Autoridades de Protección de Datos de los Estados miembros, así como la Junta Europea de Protección de Datos supervisarán el cumplimiento del Reglamento general de protección de datos.

¿Cuándo entrará en vigor el Reglamento general de protección de datos?

El 25 de mayo de 2018. Se estableció que no habrá período de gracia para la aplicación, ya que las empresas recibieron un preaviso de dos años para prepararse para los nuevos reglamentos.

¿Cuáles son los requisitos principales del Reglamento general de protección de datos?

Reglamento general de protección de datos requiere una mayor seguridad, protección de datos, medidas técnicas y organizativas adecuadas, transparencia, mantenimiento de registros, responsabilidad y gestión de las solicitudes de los interesados, así como una notificación de la vulneración de datos personales en un plazo de 72 horas por parte de los poseedores de los datos a las autoridades. La responsabilidad de la protección de datos será compartida dentro de las organizaciones y con los proveedores, de forma que se establecerá un modelo de responsabilidad compartida. Las organizaciones deben saber qué y cómo se recopila y procesa la información personal en sus sistemas internos. Esto requiere que los ejecutivos sean conscientes de cómo se lleva a cabo este proceso y no puede considerarse una cuestión legal o de TI por sí sola. La sensibilización y la formación internas serán fundamentales.

¿Cómo sé si el Reglamento general de protección de datos se aplica a mi organización? ¿Cuáles son los riesgos para mi organización si no lo cumple?

El Reglamento general de protección de datos se aplica a cualquier organización que opera dentro de las fronteras de la Unión Europea o que procese los datos personales de cualquier persona en la Unión Europea. La falta de cumplimiento expondrá a la organización a sanciones legales y financieras por parte de los reguladores de privacidad de la UE, además de a reclamaciones legales de particulares.

¿Puede Microsoft ayudarnos a cumplir con los requisitos del Reglamento general de protección de datos?

La responsabilidad final del cumplimiento del Reglamento general de protección de datos recae en la organización. Depende de las ONG determinar qué datos se recopilarán, cómo se utilizarán, quiénes son las personas responsables en la organización y cómo pueden las personas solicitar su información personal, así como la rectificación y eliminación de dicha información. Sin embargo, Microsoft proporciona un conjunto de herramientas para ayudar a cumplir con los requisitos. Nuestra infraestructura en la nube de Azure se ha diseñado teniendo en cuenta el Reglamento general de protección de datos e incluye sistemas para ayudar a su cumplimiento.

Las licencias E3 y E5 de Office 365 proporcionan una manera fácil de etiquetar datos e identificar automáticamente información confidencial incluso si el usuario no sabe que lo es. Por último, hemos lanzado un panel de cumplimiento del Reglamento general de protección de datos que las organizaciones pueden usar para supervisar su propio cumplimiento.

También puede visitar la página web del Reglamento general de protección de datos en el nuevo sitio web Centro de confianza de Microsoft para obtener más información acerca de cómo las características y las funcionalidades de Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10 le permitirán cumplir con los requisitos del Reglamento general de protección de datos.