El reglamento histórico modificó la mentalidad de todos sobre cómo las empresas de todo el mundo adquieren y utilizan la información privada de los residentes de la UE.
fue el 25 de mayoel, 2018, y la energía solar realmente brillaba en la mayoría de los (entonces) 28 estados miembros de la Unión Europea. En los lugares de trabajo de muchas empresas en (ya veces también fuera) de la UE, este fue un día de caos.
En el período previo a ese día, las empresas habían enviado numerosos correos electrónicos a sus clientes y clientes potenciales, pidiéndoles su consentimiento para recibir sus boletines, algo que nunca habían solicitado hasta el día de hoy. Al mismo tiempo, muchas empresas sin personal dedicado intentaban determinar qué tipo de información tenían realmente sobre sus clientes y cómo administrarla y protegerla en el futuro.
Pero, ¿cuál fue este evento histórico?
En ese día, el Reglamento de seguridad de conocimiento común, o RGPDentró en impacto, dramáticamente cambiando la mentalidad de todos sobre el uso de información privada por parte de las empresas con sede en la UE y fuera de la UE que adquieren, procesan y almacenan la información de los residentes de la UE.
4 años después, los compradores en Europa ya anticipan que las empresas se ajustarán a esta regulación al hacer clic en el botón “Conforme con” o “Aceptar” en las frases y situaciones de sus sitios web (que, seamos sinceros, casi nadie lee), además de suponer que las autoridades reguladoras controlan la aplicación de la regulación.
Entonces, ¿cuáles han sido las principales modificaciones?
Antes de GDPR, es posible que nadie supiera realmente qué tipo de empresas de información del comprador tenían. ¿Fb simplemente conservaba nuestro título y número de teléfono o correo electrónico? ¿Google conservaba un informe de nuestras búsquedas? ¿Qué aprende Netflix sobre nosotros a partir del contenido que vemos? ¿Y cómo han sido estas empresas utilizando estos datos?
1. Para responder a estas preguntas, el RGPD es relevante para una gran selección de información recopilada:
- Datos básicos de identificación: título, dirección y número de identificación, creencias espirituales, afiliación política, origen racial o étnico, orientación sexual.
- Información de salud: situaciones de salud, análisis de sangre, vacunas COVID-19 y muchos otros.
- Comunicaciones: geolocalización, direcciones IP, historial de red, llamadas telefónicas y textos.
- Otra información como detalles de la institución financiera, información de compra y uso de la aplicación.
2. Las corporaciones deben respetar los ocho derechos de los residentes:
- El adecuado para ser dicho que su información está siendo recopilada y utilizada, por cuánto tiempo y la forma en que se compartirá. El conocimiento debe darse en un lenguaje fácil y accesible.
- El adecuado para la entrada toda la información procesada por una organización además de la explicación de que la información se recopila o de qué suministro se adquirió.
- El adecuado de rectificación en caso de que algún dato esté incompleto o sea erróneo.
- El adecuado para ser olvidado puede solicitarse si en cualquier momento alguien retira el consentimiento otorgado a una organización para transportar esa información si la información no es obligatoria o si fue procesada ilegalmente.
- El adecuado para limitar el procesamiento como sustituto del borrado de información. Los clientes simplemente pueden solicitar que su información no se utilice para algunas funciones. Por ejemplo, uno puede dar su consentimiento para hacer uso de la información para la personalización del contenido dentro de una plataforma de transmisión, pero no en campañas publicitarias.
- El apto para objetar al procesamiento de información adicional.
- El adecuado a la portabilidad de la información. Si el consumidor desea ingresar su información recopilada por una organización y entregársela a otra empresa, la línea inferior es: Su información es suya. Puedes llevarlo donde quieras.
- El apto para no ser tema de perfilado basada mayoritariamente en un conjunto de información con rasgos que pueden delinear comportamientos, creencias o diferentes datos.
3. Tiene una impresión mundial
Uno diría que esta regulación fue un cambio drástico solo para las empresas con sede en la UE, pero sus efectos van mucho más allá. GDPR es relevante para todas las empresas que suministran artículos o proveedores dentro de la UE o ese curso de la información de cualquier ciudadano de la UE. Del mismo modo, la información de los residentes de la UE solo se puede exportar a (y utilizar) países con leyes de privacidad similares.
Siendo una de las tres economías más grandes del mundo, la UE impulsa la financiación desde todos los rincones, estableciendo GDPR al menos como requisito habitual para funcionar en cualquiera de los 27 estados miembros. No es sorprendente que en todo el mundo, los reguladores de seguridad de la información hayan adoptado leyes nacionales en un esfuerzo por armonizar los algoritmos a los que las empresas deben adaptarse.
Es el caso de Canadá, Argentina, Brasil, Uruguay, Japón, Nueva Zelanda y, más recientemente, Corea del Sur. En realidad, la PIPEDA de Canadá ha estado en vigor desde 2001, habiendo prestado gran parte de su espíritu a la regulación de la UE relacionada con el establecimiento de la rendición de cuentas como un precepto legislativo elemental, sin embargo, con una distinción importante: frente a la regulación canadiense, GDPR se aplica no solo a actores empresariales, pero adicionalmente a entidades gubernamentales.
En Estados Unidos, sin embargo, el panorama es algo más variado. A nivel federal, diferentes leyes regulan áreas enfocadas, como HIPAA para la salud, FCRA para calificaciones crediticias, FERPA para la educación, GLBA para préstamos e información financiera, ECPA para el seguimiento de las comunicaciones, COPPA que limita el procesamiento de datos pertenecientes a niños menores de 13 años, VPPA para información de alquiler de VHS o la Ley FTC que hace que las empresas positivas se ajusten a sus propias reglas de privacidad. Solo tres estados han adoptado leyes de privacidad completas: California tiene la CCPA (y su próximo ‘replace’ reconocido por el acrónimo CPRA); y además están los de Virginia VCDPA y los de colorado ColoPa lineamientos legales que pueden entrar en vigencia los próximos 12 meses.
4. Si hay una violación de la información, debe informarse a más tardar 72 horas después del descubrimiento.
Una de las novedades más importantes lanzadas por GDPR fue la obligación de las empresas de informar una violación de datos dentro de los tres días posteriores a su conocimiento. Comparado, hasta ahorael más estricto de EE. UU. línea de tiempo para denunciar incumplimientos era de 30 días.
Este requisito llevó a las empresas a tener planes proactivos para hacer frente a las filtraciones de datos, frente a la tentación de tardar demasiado en hacerlo y tratar de evitar una crisis de relaciones públicas. En una época en que tales incidentes son comunes, los residentes deben saber que es probable que su información se vea comprometida para permitirles tomar acción.
5. Si no se utilizan algunas de estas reglas, hay multas
En realidad, no son simplemente frases vacías sin sanciones significativas. GDPR se está aplicando y a partir del 23 de mayord2022, las violaciones de GDPR han resultado en 1,093 multas precio un total de 1.630 millones de euros (US$1.74 mil millones) Y posiblemente las “acciones” más importantes han sido la información en todo el mundo, impactando el trabajo de Huge Tech.
En 2021, Amazon fue multado 746 millones de euros (865 millones de dólares estadounidenses), la mayor cantidad hasta la fecha, por publicidad enfocada sin el consentimiento adecuado. El caso contra Amazon fue tomado por los funcionarios de Lux, donde se encuentran las sedes corporativas, luego de que el grupo francés La Quadrature du Internet hiciera la denuncia. queja en nombre de 10.000 personas que firmaron su petición. Además en 2021, Google recibió una bofetada positiva de € 90 millones (US $ 102 millones) por no ofrecer a los residentes en Francia una opción directa para rechazar el uso de cookies. (Las cookies están parcialmente reguladas por la Directiva de privacidad electrónicasin embargo, se aplica GDPR porque rige cómo se administra el consentimiento de información). Google Eire y Facebook recibió multas comparables por un propósito similar.
Varias firmas conocidas afines a la marca de ropa. H&Mla British Airways e incluso el Administración de Impuestos y Aduanas de los Países Bajos han sido multados y necesitaban adaptar sus mecanismos de seguridad de la información.
Estás al mando de tu información
Este es probablemente uno de los mensajes más comunes enviados por muchas empresas en los últimos tiempos. Estas declaraciones hacen que te sientas empoderado y que las empresas actuales se ajusten a las pautas de información y privacidad.
GDPR fue en realidad un primer paso vital para garantizar que nuestra información esté segura. Sin embargo, la mera existencia de esta normativa no debe hacer que dejemos de cuestionarnos por qué se requiere esta variedad de información. ¿Por qué las empresas tienen que saber tanto sobre lo que hacemos, el lugar al que vamos o cómo vestimos? ¿Y qué opciones alternativas existen después de que no damos nuestro consentimiento para usar una parte seleccionada de nuestra información? ¿Podemos descubrir diferentes proveedores?
Además, si muchos servicios y aplicaciones no piensan en darnos acceso a ellos de forma gratuita a cambio de nuestros datos, entonces, ¿cuál es el valor real de nuestros datos que pueden superar los ingresos basados en las tarifas de suscripción?
Esa es realmente una conversación que todos vamos a tener que tener más temprano que tarde.