La semana pasada entró en vigencia plena la nueva ley europea de protección de datos, más conocida como GDPR, por las siglas en inglés de General Data Protection Regulation. A partir del 25 de mayo, los ciudadanos europeos tienen que dar su consentimiento inequívoco para que las empresas puedan usar sus datos, incluyendo los medios digitales. Es más, los sitios web tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.
Si bien se trata de una ley de la Unión Europea, la normativa GDPR afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque estén radicadas en otros países. Varias plataformas globales como Google o Facebook ya modificaron sus condiciones de uso de los datos a nivel global.
Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.
Los medios argentinos deberán implementar las herramientas de administración GRDP registradas y validadas por IAB, a los cuales se puede acceder en el siguiente link.
Las empresas que no cumplan con la ley enfrentarán grandes multas, de acuerdo a lo establecido por la UE.
¿Cómo saber si una determinada empresa debe cumplir con GDPR?
La respuesta es clara: Cualquier compañía que cuente con filiales y/o almacene o procese datos personales sobre ciudadanos de la UE está obligada a su observancia.
Como base principal, GDRP quiere garantizar la libre circulación de datos en el seno de la UE. Desde esta consideración, el Principio de Transferencias Internacionales recoge que únicamente podrá realizarse una transferencia de datos personales a un tercer país u organización internacional, cuando la Comisión haya considerado que éstos (país u organización) disponen de un adecuado nivel de protección; ofrecen garantías adecuadas sobre la protección que los datos recibirán en su destino; o se dan circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.
En buena parte de las legislaciones iberoamericanas el derecho de las personas sobre la protección de sus datos se encuentra regulado a través del denominado ‘habeas data’, en calidad de garantía constitucional. En este contexto, el acatamiento de GPRD supondrá un avance significativo, aunque también implicará una mayor inversión en procesos y tecnología necesarios para asegurar dichos datos, tanto los que permanecen al amparo del perímetro de TI como los que viajan por la nube.