RGPD: ¿Qué necesitas saber?

Como Reglamento general de protección de datos de la UE (GDPR) comenzó a aplicarse el 25 de mayo de 2018, se han impuesto sanciones reales y severas. Entonces, ¿qué es el RGPD, a quién se aplica y qué sucede cuando se incumplen sus regulaciones?

Puede leer las regulaciones oficiales e intentar comprender lo que significan, pero es difícil. Está lleno de pequeñas gemas como esta:

"Un grupo de empresas debe abarcar una empresa controladora y sus empresas controladas, siendo la empresa controladora la que puede ejercer una influencia dominante sobre las demás empresas." —Artículo 37 del RGPD

… ¡No puedes inventar estas cosas!

Entonces, pensé que sería útil desglosarlo, al menos desde una perspectiva de software, y ver cuáles son las cuestiones clave que debes comprender. Si ve que le va a afectar, definitivamente querrá profundizar más. El RGPD terminará afectando a muchas partes de su organización y usted querrá hacerlo bien.

El RGPD requiere que las organizaciones se aseguren de que los datos de los usuarios estén bien protegidos, que no se utilicen de forma indebida, que los usuarios reciban su consentimiento informado y que el incumplimiento se imponga mediante grandes sanciones económicas. Para obtener más información, sigue leyendo.

¿Qué es el RGPD?

El RGPD exige que las organizaciones se aseguren de que los datos de los usuarios estén bien protegidos y no se utilicen indebidamente. Los usuarios obtienen el consentimiento informado. El incumplimiento se enfrenta a grandes sanciones financieras

GDPR se trata de proteger los datos de los ciudadanos. Esto significa proteger el acceso a los datos, no almacenar datos que no necesita, cifrar los datos personales y anonimizar los datos cuando sea posible. En otras palabras, todos los pasos que puede tomar para limitar la posibilidad de una violación de datos y el impacto cuando ocurre una violación. Además, la privacidad incluye usos no autorizados de datos, como rastrear usuarios sin su consentimiento y cualquier otro uso de datos sin consentimiento explícito.

Desde su propio sitio web, GDPR "fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y empoderar la privacidad de datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de la región abordan la privacidad de datos".

GDPR considera el "derecho al olvido" general de la UE, lo que significa en este contexto que si alguien quiere que sus datos sean eliminados de su sistema, debe hacerlo dentro de un plazo razonable. Además, existen requisitos estrictos de presentación de informes. No se puede tener una infracción y ocultarla, como ha sucedido varias veces recientemente en los EE. UU.

¿Cuáles son las sanciones por incumplimiento del RGPD?

Multas. Las multas son lo que pasa. La UE puede multarlo diariamente por violaciones continuas. El monto de la multa puede basarse en los ingresos de la organización matriz, por lo que puede ser mayor de lo que cree. Las multas varían según las regulaciones que se violaron y pueden ascender a 20 millones de euros. Asegúrese de poder demostrar el cumplimiento.

“Para demostrar el cumplimiento de este Reglamento, el responsable o encargado del tratamiento deberá mantener registros de las actividades de tratamiento bajo su responsabilidad”. —Artículo 82 del RGPD

CCPA frente a RGPD

La Ley de Privacidad del Consumidor de California (CCPA) tiene objetivos similares a los del GPDR, pero difieren principalmente en su alcance, ya que la CCPA es específica de California y el GPDR de la UE. En resumen, las diferencias clave son:

• Jurisdicción. Ambas leyes tratan de la privacidad, pero sus jurisdicciones difieren.
• Alcance. GPDR se aplica únicamente a individuos, mientras que CCPA hace la distinción de aplicarse a consumidores y hogares.
• Solicitud. GPDR tiene un alcance mucho más amplio y se extiende a todas las entidades que puedan utilizar datos personales. La CCPA, por otro lado, se ocupa únicamente de las empresas que operan con residentes, “consumidores” y “hogares” de California.
• Particularidades de los datos personales. Hay ciertos aspectos específicos de los datos personales que la CCPA no trata en detalle, como las cookies, la transferencia de datos y el consentimiento.
• Aceptar o no participar. Un principio básico del GPDR es que las personas tienen la opción de permitir el uso de sus datos, de modo que el valor predeterminado sea siempre la privacidad. La CCPA se basa en la opción de exclusión voluntaria para los consumidores, donde la opción predeterminada es que sus datos pueden usarse hasta que tomen la medida de exclusión voluntaria por su cuenta. Si opta por participar, cumplirá con ambos conjuntos de regulaciones.
• Escala de sanciones de ejecución. Las sanciones de la CCPA son relativamente pequeñas en comparación con los casos de aplicación del GPDR que han sido procesados. El mayor acuerdo del GPDR, con Meta, fue de 1.2 millones de euros.

Ejemplos de aplicación de la CCPA

El Departamento de Justicia del Estado de California publica sus Ejemplos de casos de aplicación de la CCPA. Aunque no se muestran detalles de los nombres de las empresas ni de las sanciones, está claro que la aplicación de la ley está cambiando la forma en que algunas empresas operan en línea. Algunos ejemplos incluyen:

• Programas de fidelización de minoristas en línea que recopilan datos personales con la promesa de descuentos u otros beneficios. En estos casos, los consumidores no sabían que sus datos estaban siendo recopilados, utilizados o vendidos.
• Una empresa de dispositivos médicos vendía datos de pacientes sin notificación ni permiso.
• Muchas empresas están agregando un enlace "No vender mi información personal", pero en algunos casos las opciones son confusas o no funcionan correctamente.
• Las empresas luchan por respaldar adecuadamente la solicitud y eliminación de datos personales.
  La CCPA incluye sanciones de $2500 por cada infracción no intencional y $7500 por las intencionales. sin embargo, el La amenaza de demandas de los consumidores plantea un riesgo mayor..

Ejemplos de aplicación del GPDR

La aplicación del GPDR suele tener un alcance mucho mayor que el de la CCPA y la ejemplos muestran la gran diferencia en la escala y el alcance de las dos regulaciones:

• Meta recibió una multa de 1.2 millones de euros (1.3 millones de dólares) en 2023 por transferir datos recopilados de usuarios de Facebook en la UE a EE. UU., violando las directrices de transferencia internacional del RGPD.
• Amazon recibió una multa de 746 millones de euros (780.9 millones de dólares) en 2021 por rastrear los datos de los usuarios sin obtener el consentimiento adecuado de los usuarios ni proporcionar los medios para excluirse de este seguimiento.
• WhatsApp recibió una multa de 225 millones de euros (247 millones de dólares) en 2021 por políticas de privacidad poco claras y falta de transparencia en la forma en que utilizaba los datos de los usuarios.
• Google Irlanda fue multada con 90 millones de euros (99 millones de dólares) en 2021 por no ofrecer a los usuarios una forma sencilla de rechazar cookies en virtud del RGPD y de la Directiva de privacidad electrónica.

El incumplimiento del RGPD puede dar lugar a sanciones graves y severas. El marco de sanción se basa en un máximo de 20 millones de euros o el 4% de los ingresos globales, lo que sea mayor.

¿Quién debe seguir las regulaciones del RGPD?

Por supuesto, las empresas en la UE deben seguir el RGPD, pero resulta que incluso si estás ubicado en otro lugar, si tienes clientes en la UE, también estás sujeto al RGPD.

Si no está almacenando ninguna información personal, será fácil, pero cualquier persona que tenga datos personales de la UE debe seguir las pautas. Lo mismo es cierto si tiene empleados en la UE.

A veces se vuelve un poco complicado si comparte datos de usuario o obtiene datos de usuario de otra parte. Si alguien ejerce el derecho al olvido, debe buscar todos esos recursos compartidos y borrar los datos en todas partes. Por lo tanto, incluso si obtiene datos de otra persona que está entregando datos personales de la UE, puede estar sujeto a las pautas.

Descripción general de las regulaciones GDPR

Con el objetivo de mejorar el control y los derechos de las personas sobre sus datos personales, el reglamento se aplica a cualquiera de los siguientes países con sede en la UE y el EEE (Espacio Económico Europeo, que incluye Islandia, Liechtenstein y Noruega):

• Cualquier organizacion
• El responsable del tratamiento que recoge datos de personas físicas.
• El procesador, que es una organización que procesa datos en nombre de un controlador de datos.
• El interesado, que es una persona

Un aspecto clave del RGPD es que se aplica a organizaciones con sede fuera de la UE si recopilan o procesan datos personales de cualquier persona que viva en la UE/EEE, sea o no ciudadano, y de cualquier ciudadano de la UE/EEE, independientemente de dónde se encuentre. están viviendo. Como hemos visto, las sanciones son cuantiosas y, a menudo, se imponen a empresas de tecnología fuera de la UE. Desafortunadamente, el alcance del RGPD es amplio y los expertos en privacidad lo consideran “poco específico”. El cumplimiento es especialmente desalentador para las pequeñas y medianas empresas.

Conceptos clave y definiciones

Las definiciones clave del RGPD se relacionan con el individuo y las organizaciones que recopilan, procesan, almacenan y transfieren sus datos personales.

• Información personal. Se considera dato personal cualquier información relativa a una persona concreta que pueda ser identificada, directa o indirectamente. Por ejemplo, las direcciones de correo electrónico y los nombres son personales al igual que las coordenadas geográficas, el género, el origen étnico, la información biométrica, las opiniones políticas, las cookies web y las convicciones religiosas. La definición también puede aplicarse a datos anonimizados si es razonablemente fácil identificar a una persona a partir de ellos.
• Procesamiento de datos. Cualquier acción realizada sobre los datos, ya sea automatizada o manual, se denomina procesamiento de datos. Esto incluye actividades sobre datos para recopilar, registrar, organizar, estructurar, almacenar, usar y borrar.
• Titular de los datos. La persona física cuyos datos se tratan es el interesado. En la mayoría de los casos, se trata de usuarios de su producto o visitantes de su sitio web.
• Procesador de datos. Cualquier organización o entidad que procese datos por cuenta del responsable del tratamiento.

Alcance y aplicación del RGPD

El GDPR está diseñado para proteger los datos de los ciudadanos y residentes de la UE. Se aplica a cualquier organización que maneje dichos datos, independientemente de si tiene su sede en la UE o no. Esto se conoce como “efecto extraterritorial”.

Según el artículo 3 del RGPD:

• El reglamento se aplica al procesamiento de datos personales por parte de un establecimiento en la UE, independientemente de dónde se produzca el procesamiento.
• También se aplica al procesamiento de datos personales de interesados ​​en la UE por un controlador o procesador no establecido en la UE, si las actividades de procesamiento están relacionadas con ofrecer bienes o servicios a dichos interesados ​​en la UE o monitorear su comportamiento dentro de la UE. UE.
• El reglamento se aplica al procesamiento de datos personales por parte de un controlador no establecido en la UE, pero en un lugar donde se aplica la ley de los estados miembros en virtud del derecho internacional público.

El RGPD se aplica a organizaciones fuera de la UE que ofrecen bienes o servicios a personas en la UE o monitorean su comportamiento en línea. Los reguladores buscan pistas para determinar si la organización se propuso ofrecer bienes y servicios a personas en la UE.

Por ejemplo, si una organización utiliza herramientas web para rastrear cookies o direcciones IP de personas que visitan su sitio web desde países de la UE, entonces cae dentro del alcance del RGPD.

Hay excepciones, como por ejemplo para “actividades puramente personales o domésticas” y las organizaciones con menos de 250 empleados podrían quedar excluidas. A pesar de esto, el RGPD solo se aplica a todas las organizaciones dedicadas a “actividades profesionales o comerciales”, por lo que es posible que muchas pequeñas y medianas empresas no estén exentas del RGPD.

Consentimiento según el RGPD

Consentimiento y Transparencia

El RGPD establece que los usuarios deben dar su consentimiento para que se recopilen datos sobre ellos y que este consentimiento se basa en "un acto afirmativo claro". Claro y afirmativo significa que el usuario debe realizar una acción para optar por participar en lugar de la metodología común de “usted está dentro a menos que opte por no participar”.

“Para que el consentimiento sea informado, el interesado debe conocer al menos la identidad del responsable del tratamiento y las finalidades del tratamiento a las que están destinados los datos personales”. —Artículo 42 del RGPD

En la web, un buen ejemplo es un formulario de registro que tiene un aviso de que se van a recopilar datos, qué datos son, cómo se usarán, cómo optar por no participar (o ser olvidado) más tarde, y luego el usuario debe hacer algo para aceptar, como hacer clic en una casilla de verificación. Los días de casillas previamente marcadas ya no se aplican; el GDPR prohíbe específicamente estos métodos habituales en la actualidad:

“Por lo tanto, el silencio, las casillas marcadas previamente o la inactividad no deberían constituir consentimiento”. —Artículo 32 del RGPD

El uso de los datos debe tener alguna finalidad relacionada con el motivo de la recopilación de los datos y debe ser explicado al usuario:

“Debe ser transparente para las personas físicas cómo se recopilan, utilizan, consultan o procesan de otro modo los datos personales que les conciernen y en qué medida se procesan o se procesarán los datos personales”. —Artículo 39 del RGPD

Control de datos personales

A los ciudadanos de la UE se les concede pleno control sobre sus datos personales, incluido el acceso, la transferencia, la corrección y el derecho al olvido, incluyendo:

“mecanismos para solicitar y, en su caso, obtener, de forma gratuita, en particular, el acceso, la rectificación o la supresión de datos personales y el ejercicio del derecho de oposición”. —Artículo 59 del RGPD

El derecho de acceso a sus datos se basa en el artículo 63 del RGPD:

"Un interesado debe tener derecho a acceder a sus datos personales"

Mientras que el derecho a que se realicen correcciones de los datos está en el artículo 65 del RGPD:

"El interesado debe tener derecho a que se rectifiquen los datos personales que le conciernen".

Piense en esto la próxima vez que se enfrente a una agencia de informes crediticios y deseará que se aplique a sus propios datos.

El RGPD garantiza además que no haya bloqueos de proveedores en los datos del usuario. También se enumera el derecho a transferir datos:

“El interesado también debe poder recibir los datos personales que le conciernen y que haya proporcionado a un responsable del tratamiento en un formato estructurado, de uso común, legible por máquina e interoperable, y transmitirlos a otro responsable del tratamiento”. —Artículo 68 del RGPD

Esto significa que puede obtener sus datos de un proveedor en un formato digital razonable para que pueda trasladarlos a otro proveedor.

El derecho al olvido se extiende a las organizaciones con las que se han compartido datos:

“El derecho a la supresión también debería ampliarse de tal manera que el responsable del tratamiento que haya hecho públicos los datos personales debería estar obligado a informar a los responsables del tratamiento de dichos datos personales que borren cualquier enlace, copia o réplica de esos datos personales. .” —Artículo 66 del RGPD

En otras palabras, el borrado debe producirse en cascada.

Si obtiene datos sobre una persona de otra organización y va a utilizarlos y/o almacenarlos, debe notificárselo a esa persona, para que pueda dar su consentimiento informado (consulte el artículo 60,61 del RGPD). Esto también se aplica si decide utilizar los datos de una manera que no estaba incluida en el consentimiento original.

"Cuando el responsable del tratamiento tenga la intención de procesar los datos personales para un propósito distinto de aquel para el cual fueron recopilados, el controlador debe proporcionar al interesado, antes de continuar con el procesamiento, información sobre ese otro propósito y otra información necesaria". —Artículo 61 del RGPD

Y tenga cuidado con los algoritmos totalmente automatizados, como las solicitudes de préstamos:

“El interesado debe tener derecho a no estar sujeto a una decisión, que puede incluir una medida, evaluando aspectos personales que le conciernen basado únicamente en el procesamiento automatizado y que produzca efectos jurídicos que le conciernen o le afecten significativamente de manera similar, como el rechazo automático de una solicitud de crédito en línea o prácticas de contratación electrónica sin intervención humana alguna”. —Artículo 71 del RGPD

Si está utilizando algoritmos totalmente automatizados para tomar decisiones, este puede hacerle tropezar.

Protección de datos: gestionar y defender

Una vez que tenga los datos de alguien, debe administrarlos y protegerlos adecuadamente. La verdadera clave de esto es lo que se conoce como "PInformación de identificación personal(PII). PII tiene una definición muy amplia, por ejemplo, cookie IE, que identifica directa o indirectamente a una persona, incluida la dirección IP. Si está realizando algún tipo de análisis web, está recopilando PII y necesita asegurarse de lo que está haciendo. cumple con el RGPD.

Uno de los aspectos clave del manejo de PII en GDPR es el concepto de seguro por diseño. El reglamento establece:

"El responsable del tratamiento debe adoptar políticas internas e implementar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y protección de datos por defecto". —Artículo 78 del RGPD

La metodología segura por diseño es una forma de decir que no se puede simplemente probar la seguridad y la protección de datos en su aplicación. En lugar de crear un código e intentar probarlo en el equipo rojo, primero debe diseñar la aplicación para que sea segura, por lo que cosas como el cifrado son las opciones predeterminadas que se desactivan solo en caso de una excepción aprobada. Seguro por diseño significa tomarse en serio el análisis de código estático también, con un gran énfasis en los estándares de ingeniería de software y las reglas de análisis estático "preventivos".

Y si está recopilando datos relacionados con la salud, debe tener mucho cuidado para protegerlos (consulte el artículo 53 del RGPD), aunque existen algunas disposiciones para ciertos tipos de investigación si se trata de salud en lugar de oportunidades de marketing (consulte el artículo 54 del RGPD). ).

La retención de datos es otro tema importante a la hora de recopilar y almacenar PII. El principio principal aquí es no retener los datos más tiempo del necesario:

“…el derecho a que sus datos personales se borren y dejen de procesarse cuando los datos personales ya no sean necesarios” —Artículo 65 del RGPD

En otras palabras, los datos que sólo necesita con fines transitorios, como completar una transacción, sólo deben existir durante el tiempo necesario. Después de eso, debe purgar los datos, en lugar de almacenarlos por conveniencia o análisis futuros.

Es importante demostrar que también necesita que se recopilen los datos:

“un interesado puede esperar razonablemente, en el momento y en el contexto de la recopilación de datos personales, que pueda tener lugar el procesamiento para ese fin” (artículo 47 del RGPD)

Y más adelante, no puede usar los datos para otra cosa, a menos que esa otra cosa esté relacionada con el uso original de los datos y / o el procesamiento (análisis) de los datos.

"El procesamiento de datos personales para fines distintos de aquellos para los cuales se recopilaron inicialmente debe permitirse sólo cuando el procesamiento sea compatible con los fines para los cuales se recopilaron inicialmente". —Artículo 50 del RGPD

Los principios del RGPD

Los principios clave de protección de datos del RGPD se enumeran a continuación.

Legalidad, Equidad y Transparencia

El procesamiento debe ser legal, justo y transparente para el interesado.

Limitación de propósito

Debe procesar los datos para los fines legítimos especificados explícitamente al interesado cuando los recopiló.

Minimización de datos

Debe recopilar y procesar solo la cantidad de datos absolutamente necesaria para los fines especificados.

Exactitud

Debe mantener los datos personales exactos y actualizados.

Limitación de almacenamiento

Sólo podrá almacenar datos de identificación personal durante el tiempo que sea necesario para el fin especificado.

Integridad y Confidencialidad

El procesamiento debe realizarse de tal manera que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).

Responsabilidad

El responsable del tratamiento es responsable de poder demostrar el cumplimiento del RGPD con todos estos principios.

Derechos clave según el RGPD

Un aspecto importante del RGPD es describir y hacer cumplir los derechos de las personas en relación con el uso de sitios web, software y productos que puedan recopilar información personal.

El derecho a ser informado

Las organizaciones deben informar y documentar claramente cómo y qué datos personales se utilizan.

El derecho a la rectificación

Las personas tienen derecho a corregir información personal inexacta.

El derecho de acceso

Todos los datos personales son accesibles para las personas físicas y pueden solicitarse sin coste alguno.

El derecho al olvido (borrado)

Las personas pueden solicitar y obtener la concesión de que todos sus datos se eliminen de forma permanente.

El derecho a restringir el procesamiento de sus datos

Los particulares pueden solicitar la limitación del tratamiento de sus datos o la supresión de sus datos.

El derecho a la portabilidad de datos

Significa que todos los datos pueden obtenerse de la organización y ser utilizados por el individuo.

El derecho a objetar

Las personas pueden oponerse a que sus datos se utilicen con fines de marketing.

Derechos relacionados con la elaboración de perfiles y la toma de decisiones automatizadas

Esto restringe la cantidad de datos de un individuo que pueden ser utilizados por procesos automatizados, incluida la IA.

Violaciones de datos y RGPD

¿Qué constituye una violación de datos?

El GDPR define una violación de datos como una "violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados ​​de otra manera". Esta definición se aplica tanto a causas accidentales como a causas deliberadas.

En términos más simples, una violación de datos según el RGPD ocurre cuando hay un incidente de seguridad que compromete la integridad o confidencialidad de los datos personales. Esto podría deberse a acciones accidentales o ilegales que conduzcan a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales.

Respuesta procesal a una violación de datos

El RGPD tiene directrices específicas sobre violaciones de datos. Según los artículos 33 y 34 del RGPD:

Una organización debe informar una violación de datos a una autoridad de protección de datos (DPA), también conocida como autoridad supervisora ​​(SA), si hay un incidente que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a , datos personales que supongan un riesgo potencial para los derechos y libertades de las personas.

Si la violación pudiera resultar en pérdida de control sobre sus datos personales, discriminación, suplantación de identidad o fraude, pérdida financiera, reversión no autorizada de seudonimización, daño a la reputación, pérdida de confidencialidad de datos personales protegidos por el secreto profesional, o cualquier otro impacto económico o significativo. desventaja social para la persona física interesada, la empresa está obligada a informar del incidente.

Informe de incumplimiento obligatorio

Los requisitos de notificación de violación de datos son obligatorios y urgentes según el RGPD. Las organizaciones deben informar las violaciones de datos personales a la autoridad supervisora ​​correspondiente dentro de las 72 horas siguientes a tener conocimiento de la violación.

No notificar una violación a una autoridad de protección de datos puede resultar en una multa de 10 millones de euros (11.3 millones de dólares) o el 2 por ciento de la facturación global de una empresa.

Reglamento General de Protección de Datos (RGPD)

El cumplimiento del RGPD significa que una organización cumple con los requisitos para una adecuada manejo de datos personales tal como lo define la ley. Dado su estatus legal y sus severas sanciones, el cumplimiento requiere seria atención por parte de las organizaciones que recopilan, procesan y almacenan información personal, lo que incluye la mayoría de los sitios web comerciales pero también abarca aplicaciones y productos físicos.

Pasos hacia el cumplimiento del RGPD

Los aspectos clave que las organizaciones deben adoptar incluyen los siguientes:

• El consentimiento para el uso de datos personales es siempre de aceptación y no de exclusión. Privacidad por defecto, siempre.
• Garantizar siempre que los visitantes del sitio web, las aplicaciones y los usuarios de productos sean notificados de los datos recopilados.
• Obtener el consentimiento explícito de los usuarios para dicha recogida de información.
• Notificar a los visitantes de manera oportuna si alguna vez se viola alguno de sus datos personales conservados en el sitio.
• Llevar a cabo una evaluación obligatoria de la situación del sitio. seguridad de datos.
• Contratar un delegado de protección de datos (DPO) o personal dedicado para llevar a cabo esta función.
• Ser capaz de demostrar que existen políticas y procedimientos establecidos.
• La revisión periódica del cumplimiento de las políticas y procedimientos garantiza el cumplimiento.

Consejos importantes para cumplir con el RGPD

El RGPD tiene un gran alcance. Existen algunos principios clave que los desarrolladores de software pueden seguir hoy para reducir los gastos generales y la carga de trabajo necesarios para el cumplimiento.

A continuación se muestran algunos pasos iniciales que los desarrolladores de software pueden seguir para garantizar el cumplimiento del RGPD.

• Entrenamiento. Es fundamental que todos en una organización comprendan qué constituyen datos personales. Los datos personales son cualquier información que se relaciona con un individuo vivo identificado o identificable. Comprenda los principios clave del RGPD y cómo se aplican a su aplicación o producto.
• Privacidad por defecto. El usuario debe tener configuraciones con máxima privacidad al comenzar a trabajar con su software. El nivel de protección debe permanecer sin cambios si el usuario no realiza ningún cambio en la configuración.
• Privacidad incorporada. Introduzca la privacidad en su software desde el principio, incluso antes de que la primera información personal ingrese al sistema.
• Racionalizar los datos privados. El mejor camino para un futuro consciente de la privacidad es recopilar sólo el mínimo indispensable de datos personales. Si no lo necesitas, no lo recojas.
• Cifre todos los datos personales. El cifrado reduce la posibilidad de exponer datos privados durante la transferencia o el almacenamiento. Si es posible, utilice cifrado de extremo a extremo para mitigar el daño de una posible violación de datos.
• Seudonimización. Mantener por separado la información que permita identificar a la persona y los datos sobre esta persona. Ofuscar los datos personales lo suficiente como para que no se pueda reconstruir su identidad.
• Comprender y planificar los derechos de los usuarios. Estar al tanto de los nuevos derechos de los interesados, como el derecho “al olvido” y el derecho a la portabilidad.
• Informe todas y cada una de las violaciones de datos. Informar a las autoridades y a los usuarios sobre cualquier vulneración de datos dentro de las 72 horas siguientes a su constatación. Las sanciones por no hacerlo son muy punitivas.
• Contrata expertos en privacidad. Toda gran empresa tendrá que contratar o formar a un Delegado de Protección de Datos (DPO).
• Documentación de cumplimiento clara y concisa. Documente claramente todas las formas en que se recopilan los datos de los usuarios y para qué se utilizan. Informar al usuario cómo se almacenan los datos y quién tiene acceso a los mismos, incluidos terceros. Documentar auditorías y revisiones de cumplimiento.

¿Entonces, qué haces a continuación?

Me encantaría decirle que existe una herramienta milagrosa o un conjunto de herramientas que puede utilizar para simplemente cumplir con el RGPD, pero ese no es el caso. Sin embargo, Parasoft puede hacer mucho para ayudarte. Primero, puedes usar nuestro análisis de código estático motores para Java, C / C ++ y .NET con buenas configuraciones de seguridad y privacidad para asegurarse de que su código sea lo más seguro posible. Incluso puede configurarlos para hacer cumplir políticas de codificación estrictas, como el cifrado de forma predeterminada.

En segundo lugar, puede utilizar la virtualización de servicios para realizar pruebas completas de un extremo a otro, incluso en una fase temprana en el escritorio del desarrollador. Ser capaz de probar completamente lo que sucede con los datos sin tener que disponer de costosos laboratorios de prueba hace que sea mucho más fácil de cumplir y, al permitir que los desarrolladores realicen pruebas más profundas, encontrará problemas antes, cuando son más fáciles y económicos de solucionar.

Resumen

Da un poco de miedo y, en cierto sentido, debería serlo, dadas las posibles sanciones financieras. Pero en general, no es tan horrible a menos que su modelo de negocio se base en rastrear usuarios y vender sus datos. Si tiene un modelo de negocio típico y tiene datos de clientes y ventas, descubrirá que el cumplimiento no es un gran dolor de cabeza y tendrá el beneficio adicional de hacer que su sistema general sea más seguro en un mundo en el que la frecuencia de las violaciones de datos es cada vez mayor. Establezca las políticas adecuadas, emplee pruebas exhaustivas y exhaustivas y garantice la privacidad de sus datos con un sólido análisis de código estático.