El 25 de mayo de 2018, el Reglamento General de Protección de Datos de la UE entró en vigor en Europa para armonizar los derechos de privacidad personal en los 28 Estados miembros de la UE. Si bien cada país puede mantener sus propias leyes de privacidad e imponer sanciones adicionales, el RGPD establece una base común de protección para los ciudadanos (y residentes) de la UE y para los recopiladores y encargados del tratamiento de datos. datos personales–un conjunto de obligaciones comunes y posibles multas (hasta 4% de ingresos globales por empresa por país).
¿De quién son los datos?
Una de las innovaciones más fundamentales del RGPD es la idea de institucionalizar un derecho fundamental sobre los datos personales. Según el RGPD, todo ciudadano (o residente) de la UE tiene derecho a acceder, portar o eliminar sus datos. Las empresas que recopilan y procesan datos de consumidores o empleados, es decir, los responsables del tratamiento, están obligadas a devolver los datos de una persona si se les solicita. El RGPD reorienta el equilibrio de derechos y obligaciones entre el titular y el encargado del tratamiento de datos. Las personas nunca pierden su derecho a los datos que les conciernen o que les corresponden, mientras que las empresas, a su vez, se transforman en custodios de datos con nuevas obligaciones respecto a los datos que gestionan en nombre de los titulares.
Este nuevo principio se manifiesta de forma más evidente que en el principio del derecho al olvido. Si bien la idea del derecho al olvido precedió al RGPD en Europa y en otros países, el RGPD eleva el concepto y elimina cualquier ambigüedad en torno a la obligación. Según el RGPD, los ciudadanos y residentes de la UE tienen el derecho fundamental a que se eliminen sus datos si lo solicitan. No existe ninguna prueba para determinar si los datos son erróneos. Los datos pertenecen a la persona y esta puede hacer con ellos lo que considere oportuno.
¿Qué sentido tienen los controladores de datos sin controles de datos?
Para las empresas que recopilan y procesan información personal, este nuevo derecho a los datos personales representa un cambio radical en la forma en que visualizan y gestionan sus datos. Desde la creación de las bases de datos, los datos personales se han visto más como un producto tangible, como lo reflejan los términos utilizados para describir dónde se almacenan: almacén de datos, almacén de datos, lago de datos. Comprender la identidad del propietario de los datos, si existía, cumplía el objetivo principal de la personalización y la predicción. Se trataba, y en gran medida sigue siendo, de «analizar para monetizar».
Pero el RGPD ayuda a restituir la identidad personal a los datos personales. Recuerda a las empresas que los datos pertenecen a una persona ante la cual son responsables y de la cual deben rendir cuentas. Sin embargo, conocer los datos de una persona tiene un valor que va más allá de la inteligencia. Los datos desconocidos no son invisibles, simplemente son vulnerables al robo, el uso indebido y la vulneración. Cumplir con los nuevos requisitos del RGPD exige que las empresas busquen e inventarian los datos de cada persona. Esto, a su vez, crea nuevas oportunidades para la protección, el cumplimiento normativo y la gobernanza de datos. El derecho al olvido, en última instancia, garantiza que los datos de cada persona no se olviden. Indirectamente, los nuevos derechos sobre datos personales permiten una mejor protección de los datos personales, ya sea el número de la Seguridad Social o la dirección IP.
Gobernanza y protección de datos personales basadas en datos
Históricamente, las regulaciones han ayudado a las empresas a enfocar su atención y, por lo tanto, su presupuesto. En EE. UU., regulaciones como Sarbanes (SOX), HIPAA y PCI, por nombrar solo algunas, impulsaron a las empresas a redefinir sus prioridades y replantear sus enfoques para gestionar datos y aplicaciones. Dado que EE. UU. es un país sinónimo de industrialización, esto ha llevado invariablemente a la adopción de nuevos tipos de automatización tecnológica con siglas memorables como SIEM, SSO, DLP, DAM y DRM. Sin embargo, cada innovación responde a su propio problema, por lo que estas innovaciones abordaron una dificultad específica en un momento específico. Los derechos individuales de acceso, portabilidad o eliminación de sus datos implican un nuevo conjunto de requisitos y, por lo tanto, un nuevo conjunto de requisitos de gobernanza, protección y cumplimiento de datos.
Si bien el RGPD define un nuevo estándar de regulación en materia de privacidad personal, no es el único que impulsa esta nueva era en torno a la gobernanza y protección de datos personales. China acaba de instituir un derecho similar, al igual que muchos otros países. De igual manera, en EE. UU., varios estados están debatiendo proyectos de ley que consagrarían nuevos derechos sobre los datos personales. Para las empresas, esto implica la necesidad de un nuevo tipo de gobernanza, protección y cumplimiento normativo de datos que permita gestionar los datos de una persona y garantizar la rendición de cuentas ante dicha persona. No es sorprendente que una nueva generación de empresas como BigID busque llenar este vacío con tecnología que ayude a las empresas a cumplir con las nuevas obligaciones, a la vez que son más responsables y transparentes con sus clientes y empleados.
@dimitrisirota
Autor
