A partir del 25 de mayo comenzó a regir la Regulación General de Protección de Información en Europa (GDPR, por sus siglas en inglés). Esta contempla, principalmente, la forma como las grandes compañías tratarán la información de sus usuarios.

El GDPR establece, por ejemplo, que si una compañía desea obtener información de un usuario de la Unión Europea necesitará primero su consentimiento explícito. A lo anterior se le añade que la empresa tiene la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales.

Pero, ¿en qué afecta esta nueva regulación a Colombia? Para el consultor en regulación de internet, los cambios no serán muchos, más allá de los avisos que están desplegando las redes sociales en donde solicitan a sus usuarios leer los nuevos términos y condiciones.

“Si yo estoy usando Facebook en Colombia, la red social no se está ajustando a la ley colombiana de protección de datos, al contrario, lo que busca es unificarse a los estándares de un país europeo”

El experto añadió que: “Esas leyes europeas sí pueden afectar grandes mercados como el de Brasil, por ejemplo. Pero en Colombia, la afectación es mínima, pues acá las directrices son mucho más estrictas, por lo menos más que la gringa. Por eso, puede haber un lineamiento en parámetros y de ahí los avisos que desplegan algunas redes sociales que indican que debemos revisar las políticas de uso”.

De acuerdo con Andrés Umaña, director de asuntos legales para Microsoft Colombia, el GDPR podría aplicar para las empresas latinoamericanas, incluso si estas procesan los datos personales fuera de la UE o si procesan datos personales de residentes que no son de la UE.

“Para las empresas que quieren realizar transacciones con clientes europeos, es necesario revisar sus políticas y procedimientos internos para a las prescripciones del nuevo Reglamento de Protección de Datos Europeo”, indicó Umaña.

El ejecutivo además señaló que: “Pero aún si las empresas no van a tener transacciones de manera directa con Europa, el Reglamento se convertirá para Colombia en el principal referente regulatorio internacional para el manejo de información personal, por lo que es necesario, no sólo conocerlo, sino tenerlo presente en la generación de políticas y en la contratación de terceros como los proveedores tecnológicos”.

En una posición similar se encuentra Josué Ariza, director regional de ventas de Forcepoint, pues aseguró que: “El GDPR impacta a muchas empresas en América Latina que tienen lazos o negocios con Europa y, por lo tanto, es algo que no podemos ignorar. Confío en que el impacto de GDPR no solo será el nivel comercial sino también se verá a futuro en las regulaciones locales. Aunque en América Latina tenemos un espectro diverso de madurez legal con respecto a la legislación de protección de datos en diferentes países”

Cuatro claves para entender las reglas europeas de protección de datos

El nuevo documento será obligatorio en la UE y entrará en vigencia a partir del 25 de mayo.

Seguramente su bandeja de entrada de aplicaciones está llena de mensajes sugiriéndole revisar los nuevos términos de servicio y privacidad. Y no es coincidencia que tantos desarrolladores hayan renovado su letra pequeña al mismo tiempo.

En tres días, la Regulación General de Protección de Información (GDPR, por sus siglas en inglés) será de aplicación obligatoria en toda la Unión Europea a partir del 25 de mayo, con reglas mucho más fuertes sobre el tratamiento de datos de los ciudadanos y la privacidad de su información.

Surgió gracias a las recientes violaciones a la privacidad del usuario, como el caso de la consultora política Cambridge Analytica que utilizó datos recopilados de millones de perfiles de Facebook sin su consentimiento, lo que generó que la cuestión de la seguridad de los datos tuviera la atención del público.

Este reglamento cambia la forma en que las empresas utilizan su información personal. A continuación conozca los puntos más importantes de la nueva reglamentación de protección de datos de la Unión Europea.

Obtención de datos personales

El GDPR establece un estándar más alto para la recopilación de datos personales. Por defecto, cada vez que una empresa quiera obtener información de un ciudadano de la UE, primero necesitará su consentimiento explícito.

A lo anterior se le añade que la empresa tiene la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales. Tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.

Además, los usuarios pueden solicitar todos los datos que una compañía tiene de ellos como forma de verificar si el responsable del tratamiento cumplió con su consentimiento.

Limitación de la finalidad

El reglamento manifiesta que los datos serán recogidos con fines determinados. Esto significa que si una empresa recoge información de usuarios con una finalidad específica, no puede utilizarlos posteriormente con un propósito distinto.

Asimismo, la información recogida será mantenida solamente durante un tiempo determinado y debe ser estrictamente necesaria en relación con los fines para los que son tratados, es decir, los mínimos posibles.

Medidas de seguridad

Para determinados procesos de datos, las compañías deben crear mecanismos de certificación definidos por ley, con el fin de disminuir el riesgo legal e incrementar la confianza de los usuarios.

La medida pretende garantizar mediante unas prácticas de seguridad, como la identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc. que se correspondan adecuadamente a la protección de datos.

Además, las organizaciones tendrán que revisar sus sistemas y la forma en que las personas trabajan, para centrarse en la seguridad técnica, incluido el uso del cifrado y la aplicación sólida de parches de seguridad.

Sanciones por incumplimiento

Los reguladores europeos pueden multar a las empresas con hasta el 4 por ciento de sus ventas globales anuales, que para las grandes compañías de tecnología podría representar miles de millones de dólares. Las sanciones para las compañías más pequeñas pueden llegar hasta los 20 millones de euros (23,5 millones de dólares).