¿Qué es el Reglamento general de protección de datos (GDPR)?
El Reglamento General de Protección de Datos (GDPR) es un marco legal que establece pautas para la recopilación y el procesamiento de información personal de personas que viven en la Unión Europea (UE). Dado que el Reglamento se aplica independientemente de dónde se encuentren los sitios web, todos los sitios que atraigan visitantes europeos deben tenerlo en cuenta, incluso si no comercializan específicamente productos o servicios a los residentes de la UE.
El GDPR exige que los visitantes de la UE reciban una serie de divulgaciones de datos. El sitio también debe tomar medidas para facilitar los derechos de los consumidores de la UE como una notificación oportuna en caso de violación de datos personales. Adoptado en abril de 2016, el Reglamento entró en vigencia en mayo de 2018, después de un período de transición de dos años.
Requisitos de servicio al cliente del GDPR
Según las reglas, los visitantes deben ser notificados de los datos que el sitio recopila de ellos y dar su consentimiento explícito para la recopilación de información, haciendo clic en el botón Acepto u otra acción. (Este requisito explica en gran medida la presencia ubicua de divulgaciones de que los sitios recopilan "cookies", pequeños archivos que contienen información personal, como la configuración y las preferencias del sitio).
Los sitios también deben notificar a los visitantes de manera oportuna si se viola alguno de sus datos personales en poder del sitio. Estos requisitos de la UE pueden ser más estrictos que los requeridos en la jurisdicción en la que se encuentra el sitio.
También se exige una evaluación de la seguridad de los datos del sitio, y si un oficial de protección de datos (DPO) necesita ser contratado o si un miembro del personal existente puede llevar a cabo esta función.
La información sobre cómo ponerse en contacto con el DPO y otros empleados relevantes debe ser accesible para que los visitantes puedan ejercer sus derechos de datos de la UE, que también incluyen la capacidad de borrar su presencia en el sitio, entre otras medidas. (Naturalmente, el sitio también debe agregar personal y otros recursos para poder llevar a cabo tales solicitudes).
Otras reglas y mandatos del Reglamento general de protección de datos (GDPR)
Como protección adicional para los consumidores, el RGPD también exige que cualquier información de identificación personal (PII) que los sitios recopilen sea anonimizada (anónima, como su término lo indica) o seudónimo (con la identidad del consumidor reemplazada por un seudónimo). La seudonimización de los datos permite a las empresas hacer un análisis de datos más extenso, como evaluar los índices promedio de deuda de sus clientes en una región en particular, un cálculo que de otro modo podría estar más allá de los propósitos originales de los datos recopilados para evaluar la solvencia crediticia de un préstamo.
El GDPR afecta los datos más allá de los recopilados de los clientes. En particular, quizás, la regulación se aplica a los registros de recursos humanos de los empleados.
Controversias asociadas con el GDPR
El GDPR ha atraído críticas en algunos sectores. El requisito de nombrar OPD, o simplemente evaluar la necesidad de ellos, dicen algunos, impone una carga administrativa indebida a algunas empresas. Algunos también se quejan de que las pautas son demasiado vagas sobre la mejor manera de tratar los datos de los empleados.
Además, los datos no pueden transferirse a otro país fuera de la UE, a menos que la empresa receptora garantice el mismo grado de protección que exige la UE. Esto ha llevado a quejas sobre la costosa interrupción de las prácticas comerciales.
Existe una preocupación adicional de que los costos asociados con GDPR aumentarán con el tiempo, en parte debido a la creciente necesidad de educar a los clientes y empleados por igual sobre las amenazas y soluciones de protección de datos. También hay escepticismo sobre la factibilidad de que las agencias de protección de datos en toda la UE y más allá puedan alinear su aplicación e interpretación de las regulaciones, y así asegurar un campo de juego nivelado a medida que el GDPR entre en vigencia.
