¿Qué es Reglamento General de Protección de Datos?
El Reglamento General de Protección de Datos (RGPD, en sus siglas en ingles) se aprobó por el parlamento UE en abril de 2016, remplazando directamente la Directiva de Protección de Datos 95/46/EC.
El objetivo del RGPD es el de asegurar un estándar alto de protección dentro de la Unión Europea y proteger a todos los residentes europeos de brecha digital en el tratamiento de datos privados en un mundo que dista mucho del de 1995, cuando se estableció la Directiva inicial por primera vez y que cada vez está más motivado por proteger datos en bruto (tratamiento masivo de datos).
El Reglamento General de Protección de Datos entrará en vigor el 25 de mayo 2018 y será directamente aplicable a todos los estados miembros de la UE. Llegado ese día, cualquier empresa que no cumpla con la nueva normativa se verá expuesta a multas severas.
¿Cuál es el alcance del RGPD?
Para entender el alcance, debes tener claro la diferencia entre controlador y procesador.
Un controlador es la entidad que determina el fin, las condiciones, y el método de tratamiento de datos personales, mientras el procesador es una entidad que trata datos por parte del controlador.
El RGPD se aplica en el caso de que el controlador de datos, el procesador de datos, o bien la persona interesada (propietaria de los datos) esté ubicada dentro de la UE. El RGPD también se aplicará a las entidades situadas fuera de la UE que recopilen o traten los datos de aquellos residentes de la UE. Según comenta la Comisión Europea:
«los datos personales se definen como cualquier información en relación al individuo, ya sea de su vida personal, profesional, o pública. Puede tratarse tanto de un nombre, una dirección privada o una foto, como de una dirección de correo, datos bancarios, matrícula de su vehículo, publicaciones en una red social o su dirección IP.»
En el fondo, el Reglamento General de Protección de Datos se focaliza en la capacidad de una entidad de gestionar sus datos. Datos accesibles por aplicaciones y operados por personas, trabajando desde varios dispositivos y desde múltiples accesos.
¿Por qué es importante para tu negocio?
Según indica el RGPD, las empresas que no lo cumplan podrán verse multadas con hasta el 4% de sus ingresos anuales o 20 millones de euros (el que sea mayor).
Estas mismas sanciones indican que hay penalizaciones escalonadas en función de la gravedad de la infracción. Por ejemplo, se puede multar a una empresa con hasta 10 millones de euros o el 2% (el que sea mayor), por no tener sus datos en orden (Artículo 28), por no notificarlos ni a la entidad reguladora ni a la persona interesada, por tener de brechas de seguridad o por no haber llevado a cabo evaluaciones de Impacto en la Privacidad. Dichas reglas se aplican tanto a los controladores como a los procesadores, y por lo tanto los servicios cloud no se verán exentos del RGPD.
¿Cómo preparar a tu negocio?
Desde el propio Citrix recomiendan que pongas el foco en estructurar bien tus datos de forma centralizada y ordenada. La fragmentación de datos será, sin duda, una de las preocupaciones principales a las que se enfrentan los negocios, y de la que puedes encontrar más información en el propio blog de Citrix.
«Una solución para estos datos es la de modernizar y empezar a usar métodos más seguros de recopilar o compartir datos. Puedes aprovechar los formularios web de Podio (Podio WebForms) para recoger los datos de agentes de campo desde un repositorio de datos centralizado.»
¿Cómo puede ayudarte Podio a cumplir con RGPD?
Artículos GDPR | Cómo ayuda Podio |
Artículo 25: Protección de Datos por Diseño y Defecto | • Acceso a datos de carácter personal se puede restringir mediante políticas de compartición, aprovechando la compartición de ítems concretos o espacios de trabajo.• Centralizar, estructurar y organizar datos en las Apps de Podio
• Acceso a datos de carácter personal se protege aun más por el marco de autenticación y funciones de seguridad de red. Cuentas de Sharefile permiten la verificación en dos pasos, la integración SAML y políticas estrictas de contraseñas. |
Artículo 32: Seguridad de Tratamiento | • Datos dentro de Podio, incluso los datos de carácter personal se encriptan ‘at-rest’ (datos que no están en tránsito, guardados en bases de datos). |
Medidas Técnicas y Organizacionales, Restricciones de Acceso | • Podio sigue los requisitos de soberanía de datos, mediante la disponibilidad de la sede de control europea. |
Infórmate más sobre Podio con nuestra guía: Introducción a Podio by Citrix
Otras maneras en las que Podio asegura la privacidad en la UE
Certificación U-US de ‘Privacy Shield’
Citrix participa (y cumple con él) en el marco de ‘Privacy Shield’ entre la UE y los EEUU. Además, Citrix se ha comprometido a tratar todos los datos recibidos desde los países miembro de la UE en acuerdo con los fundamentos del marco de ‘Privacy Shield’.
Cláusulas Modelo
Podio sigue el Adendum de Tratamiento de Datos (Data Processing Addendum, o DPA) incorporando cláusulas modelos, también conocidos como cláusulas contractuales estándar. Estas cláusulas se redactaron por la Comisión Europea.
TrustArc
Las políticas y prácticas de Podio se han asesorado por TrustArc para cumplir con la Certificación Enterprise de Privacidad.
Preguntas Frecuentes
¿Cuándo entra en vigor el RGPD?
El Reglamento General de Protección de Datos se aprobó y se adoptó por el Parlamento Europeo en abril de 2016. El reglamento entrará en vigor tras un periodo transitorio de dos años y, al contrario de las normas directivas, no requiere que se apruebe ninguna legislación habilitadora por el Gobierno. Es decir, empezará directamente desde mayo de 2018.
¿El acuerdo de ‘Privacy Shield’ no me protege?
Privacy Shield no es igual que el Reglamento General de Protección de Datos (de hecho, Privacy Shield cubre tan sólo un aspecto). Aunque una empresa haya obtenido una certificación de Privacy Shield, no cumplirá por completo con el RGPD. Son dos temas que aún relacionados son independientes.
¿Qué es un ‘Responsable de la Protección de Datos’?
A tu empresa se le deberá asignar un RPD en el caso de que:
- Se imponga por ley nacional
- La organización es una autoridad pública
- La empresa se ocupa de monitorización sistemática a gran escala
- La organización se ocupa del tratamiento de datos sensibles de carácter personal a gran escala (artículo 37).
Para asesoramiento de tu nivel de cumplimiento con RGPD, déjanos tu teléfono y te daremos una respuesta inmediata y asesoramiento personal.
Conclusión
El RGPD puede afectar a empresas de cualquier tamaño y es importante que controladores y procesadores entiendan su responsabilidad como objetivo principal del reglamento. Esto significa que tu empresa se hace responsable de cualquier brecha de seguridad en el tratamiento de datos de carácter personal. Es más, cuando se habla de RGPD no nos referimos a un checklist con cosas que comprobar y ya está. El hecho de cumplirlo será un proceso continuo que requiere de atención constante.
En relación a este cumplimiento, Citrix establece en su END USER SERVICES AGREEMENT una cláusula específica (10.7), que os aconsejamos leer:
Cláusula:
Data Protection and GDPR Compliance. Citrix agrees to deal with personal data relevant to Customer’s endusersin accordance with applicable data protection laws and regulations and the following: (a) with respect to personal data provided in connection with sales and marketing activities or use of Citrix websites, the Citrix Privacy Policy at https://www.citrix.com/about/legal/privacy/; (b) with respect to any personal information of European Union residents processed in connection with Services, the Data Processing Agreement at https://www.citrix.com/buy/licensing/citrix-data-processing-agreement.html (“European Union General Data Protection Regulation Terms”); and (c) with respect to Services, the Citrix Services Security Exhibit at https://www.citrix.com/buy/licensing/citrix-services-security-exhibit.html. Customer agrees to provide any notices and obtain any consent necessary for Citrix to access and process personal and other data as specified in this Agreement. This Privacy Policy, the Data Processing Agreement and the Citrix Services Security Exhibit are incorporated herein by reference.
Estamos acostumbrados a seleccionar herramientas y soluciones tecnológicas según su coste y funcionalidad, sin prestar demasiada atención a la seguridad y cumplimiento normativo; en realidad no siempre había sido posible reunir las tres cosas a la vez… con lo que típicamente elegías dos de esas opciones sacrificando la tercera. Con la entrada en vigor del nuevo RGPD, la seguridad es un requisito obligatorio para cualquier solución tecnológica que pueda utilizarse para recoger/tratar datos de carácter personal, así que sólo tendremos que preocuparnos de elegir nuestras soluciones tecnológicas en base a las otras dos variables: tiempo/coste.
PODIO (by Citrix) cumple con amplio margen los requisitos legales RGPD, por lo que puedes dedicar tu tiempo y recursos a hacerlo crecer y dar soporte a tu negocio.
La seguridad ya no es un proceso ad-hoc, sino se deberá convertir en un pilar fundamental de nuestro negocio.
Comienza el proceso de Transformación Digital