DOCS

Eu gdpr

/

GDPR de la UE

Aprenda cómo Zonos gestiona la iniciativa del GDPR de la UE.

La protección de datos se está convirtiendo en algo vital en el negocio diario. Aunque la iniciativa del Reglamento General de Protección de Datos (GDPR) no es la primera iniciativa de privacidad en el mercado, hasta la fecha, ha sido la fuerza impulsora más significativa en la comprensión y gestión de los datos de los individuos y sus derechos sobre los datos.

Para hacer que la situación cambie y captar la atención, la UE permite a sus estados miembros aplicar multas, que incluyen una pena máxima de hasta el 4% de la facturación global anual por violar el GDPR o €20 millones. La directiva también expresa el deseo de facilitar un “ventanilla única” para la administración.

Cómo gestionamos el GDPR 

El GDPR de la UE es una regulación de privacidad integral que se implementó el 25 de mayo de 2018. Hemos realizado actualizaciones en nuestra tecnología que no solo gestionan las iniciativas del GDPR, sino que también irán más allá de las fronteras de la UE para garantizar un enfoque de privacidad para todos los que utilizan Zonos.

Zonos ofrece tecnología de privacidad líder en la industria para garantizar que los compradores y comerciantes tengan control sobre sus datos y procesos, cumpliendo con el marco del GDPR de la UE.

Los objetivos de Zonos para su negocio continúan siendo:

  • Ayudarle a descifrar el comercio transfronterizo.
  • Darle control sobre la cadena de suministro global.
  • Presentar una experiencia segura y fantástica para sus compradores internacionales.

Elementos clave de la directiva del GDPR 

Sanciones

Las multas pueden ascender al 4% de la facturación global anual por violar el GDPR o €20 millones. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener el consentimiento suficiente del cliente para procesar datos o violar el núcleo de los conceptos de “Privacidad desde el Diseño”.

Definición de datos personales

Los datos personales son cualquier información que puede ser utilizada para identificar directa o indirectamente a la persona, como un nombre, una foto, una dirección de correo electrónico, detalles bancarios, publicaciones en redes sociales, información médica o una dirección IP de computadora.

Consentimiento

El consentimiento debe ser otorgado en una forma inteligible y fácilmente accesible con el propósito del procesamiento de datos adjunto a ese consentimiento. Debe ser inequívoco, fácilmente identificable y utilizar un lenguaje clear y fácilmente comprensible. También debe ser tan fácil retirar el consentimiento como otorgarlo. Al procesar datos personales sensibles, nada menos que un “opt-in” será suficiente.

Si el sujeto de los datos tiene menos de 16 años, se requerirá el consentimiento parental para procesar los datos personales del niño. Los estados miembros pueden reducir la edad de consentimiento parental, pero no por debajo de los 13 años.

Oficiales de Protección de Datos (DPOs)

Se deben nombrar DPOs en el caso de (a) autoridades públicas, (b) organizaciones que participan en la monitorización sistemática a gran escala o de grandes datos, o (c) organizaciones que participan en el procesamiento masivo de datos personales sensibles (Art. 37). Si su organización no se encuentra en una de estas categorías, entonces no necesita nombrar un DPO.

Derechos de los sujetos de datos

Notificación de violaciones

Bajo el GDPR, la notificación de violaciones se volverá obligatoria en todos los estados miembros donde una violación de datos pueda “resultar en un riesgo para los derechos y libertades de los individuos.” La notificación debe ocurrir dentro de las 72 horas de haber tomado conocimiento de la violación. Los procesadores de datos también estarán obligados a notificar a los controladores “sin demora indebida” después de haber tomado conocimiento de una violación de datos.

Derecho de acceso

Los sujetos de datos tienen derechos para obtener confirmación del controlador de datos sobre si se han procesado o no datos personales que les conciernen, dónde y con qué propósito. El controlador de datos deberá proporcionar una copia de los datos personales, de forma gratuita, en un formato electrónico.

Derecho al olvido

Conocido como eliminación de datos, el derecho al olvido otorga al sujeto de datos el derecho a que el controlador de datos elimine sus datos personales, cese la difusión adicional de los datos y potencialmente haga que terceros detengan el procesamiento de los datos. Los datos ya no deben ser relevantes para los propósitos originales del procesamiento o el sujeto de datos retira su consentimiento. También debe señalarse que este derecho requiere que los controladores comparen los derechos del sujeto con “el interés público en la disponibilidad de los datos” al considerar tales solicitudes.

Portabilidad de datos

El sujeto de datos puede recibir los datos personales que le conciernen, que ha proporcionado previamente en un “formato comúnmente utilizado y legible por máquina” y tiene el derecho de transmitir esos datos a otro controlador.

Privacidad desde el diseño

La privacidad de los datos debe estar en el núcleo de los sistemas tecnológicos que los controladores y procesadores utilizan para gestionar la información de los sujetos de datos, no solo como un complemento.

Información del sujeto de datos

La información que debe estar disponible para un sujeto de datos cuando se recopilan datos ha sido definida de manera aguda e incluye:

  • La identidad y los datos de contacto del controlador y del DPO
  • Los propósitos del procesamiento, para los cuales se destinan los datos personales
  • La base legal del procesamiento
  • Cuando sea aplicable, los intereses legítimos perseguidos por el controlador o por un tercero
  • Cuando sea aplicable, los destinatarios o categorías de destinatarios de los datos personales
  • El período durante el cual se almacenarán los datos personales, o si esto no es posible, los criterios utilizados para determinar este período
  • La existencia del derecho a acceder, rectificar o eliminar los datos personales
  • El derecho a la portabilidad de datos
  • El derecho a retirar el consentimiento en cualquier momento
  • El derecho a presentar una queja ante una autoridad de supervisión

Es importante señalar que, cuando los datos no se han obtenido directamente del sujeto de datos (quizás utilizando una lista de terceros), la lista varía e incluye de qué fuente provienen los datos personales:

  • La existencia de cualquier perfilado y la información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para el sujeto de datos.
  • El GDPR representa un problema significativo para los comercializadores que obtienen datos de listas de terceros.

Interés legítimo

El artículo 6 del reglamento GDPR establece que un recopilador de datos solo puede procesar datos de manera legal si, entre otras cosas, tiene un interés legítimo o consentimiento. Determinar si tiene un interés legítimo requiere una “evaluación cuidadosa” de las expectativas y el contexto de los datos que está recopilando.

Es tentador utilizar una interpretación amplia del interés legítimo para superar la necesidad de consentimiento. Desalentamos el uso de una visión abierta del interés legítimo como una forma de justificar la recopilación de datos. El GDPR proporciona algunos ejemplos, como el procesamiento de datos personales para prevenir fraudes, fines administrativos internos relacionados con empleados y clientes, seguridad de la red y la notificación de posibles actividades delictivas o amenazas a la seguridad pública.

Todavía hay un área gris en torno al interés legítimo, y la definición se volverá más evidente con el tiempo. La recomendación a corto plazo es hacerse el hábito de preguntar: “¿se puede lograr el mismo objetivo sin procesar datos personales?” Si la respuesta es sí, entonces la mejor práctica es alejarse del interés legítimo como base para procesar datos; debe obtener el consentimiento.

Recomendaciones 

Zonos recomienda lo siguiente para cumplir con el GDPR de la UE:

Pasos para el cumplimiento del GDPR

  1. Establezca un plan proactivo para cumplir con el GDPR.
  2. Revise los avisos y políticas de privacidad, y asegúrese de que cumplan con los niveles de cumplimiento del GDPR.
  3. Prepare un plan en caso de una violación de seguridad.
  4. Audite sus consentimientos.
  5. Haga que los consentimientos de marketing sean de tipo opt-in.
  6. Revise la parte de interés legítimo de la directiva con su asesor legal para asegurarse de que cubra a su organización para el uso de los datos del comprador para procesar y gestionar ese pedido.
  7. Haga que el lenguaje de su consentimiento sea fácil de encontrar y leer sobre el uso de datos personales.
  8. Cree un plan de acción para las solicitudes de los sujetos de datos a su organización para el uso de sus datos.
  9. Sea responsable de su cumplimiento.
  10. Capacite a sus empleados.
  11. Tenga procesos clear establecidos, por escrito y auditados.
  12. Designe un DPO donde sea necesario.
  13. Asegúrese de que sus socios de control/procesamiento cumplan con las normativas.

Preguntas frecuentes 

¿A quién afecta esto?

El GDPR se aplica a organizaciones, controladores y procesadores ubicados dentro y fuera de la UE, que ofrecen bienes o servicios a sujetos de datos de la UE. El GDPR también se aplica a organizaciones, como organizaciones de marketing o aquellas que suministran o utilizan datos que monitorean el comportamiento de los sujetos de la UE.

¿Cuál es la diferencia entre un controlador y un procesador?

Un controlador determina los propósitos, condiciones y medios para el procesamiento de datos personales, mientras que el procesador procesa los datos personales en nombre del controlador.

¿Fue útil esta página?