Definición de GDPR

GDPR es el acrónimo del Reglamento General de Protección de Datos (General Data Protection Regulation), las leyes de privacidad de datos específicas para los ciudadanos individuales de la Unión Europea (UE) y del Espacio Económico Europeo (EEE).

Preguntas frecuentes del GDPR

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (GDPR) es una ley europea de protección de datos para los ciudadanos de la Unión Europea. La regulación del GDPR fue creada por el Parlamento Europeo en abril de 2016 y respalda la seguridad de los datos, el procesamiento de datos y la transferencia de datos personales fuera de la UE.

La ley GDPR existe principalmente para dar a los individuos el control sobre sus datos personales, así como para simplificar la regulación de datos para los negocios internacionales al establecer estándares unificados de regulación dentro de la UE. Los estándares del GDPR son requisitos para que los controladores de datos (organizaciones que manejan datos) implementen medidas técnicas y organizativas apropiadas para proteger los datos personales. Por ejemplo, la implementación de salvaguardas en los procesos de negocio que manejan datos como la seudonimización o anonimización completa, altos niveles de privacidad y el consentimiento informado.

¿Qué es el cumplimiento del GDPR?

Cualquier empresa que recopile, procese o almacene datos personales de ciudadanos de la UE debe cumplir con los estrictos requisitos de cumplimiento del GDPR o de lo contrario se enfrentará a cuantiosas multas. Los equipos de seguridad de las empresas que realizan transacciones dentro de la UE o la exportación de datos fuera de la UE tienen ahora altas expectativas para la protección y el procesamiento de datos personales. Un Oficial de Protección de Datos (DPO) del GDPR es un rol de liderazgo de seguridad empresarial requerido por la ley GDPR para supervisar la estrategia de protección de datos de la empresa y garantizar el cumplimiento de los requisitos del GDPR.

El texto del GDPR deja mucho espacio a la interpretación, diciendo que las empresas deben proporcionar una protección "razonable" de los datos personales, sin especificar la definición exacta de "razonable". Esto deja margen para que las autoridades de control del GDPR evalúen las multas por violaciones de datos y falta de cumplimiento.

Cómo cumplir con el GDPR

Los controladores de datos personales deben garantizar el cumplimiento del GDPR en su empresa mediante la implementación de salvaguardas de privacidad estrictas y transparencias en los procesos de negocio diarios. Para las PYMES, el cumplimiento completo de los requisitos del GDPR puede ser un conjunto de tareas muy desalentador.

Para facilitar esta integración, muchos sitios web muestran una lista de verificación de cumplimiento del GDPR como esta lista de verificación para controladores de datos detallada. En términos generales, esta lista cubre tareas para controladores de datos de la empresa y oficiales de protección de datos de GDPR que incluyen:

• Realizar una auditoría de información para ver quién está involucrado con los datos en la empresa

• Crear transparencia en las actividades de procesamiento de datos y en los avisos de políticas de privacidad

• Establecer principios de protección de datos por diseño en todos los procesos organizativos

• Crear procesos para la concientización, evaluación y vulneración de la seguridad de los datos

• Designar la responsabilidad del cumplimiento de los estándares del GDPR, otorgando a las partes responsables el poder de evaluar e implementar políticas de protección de datos

• Construir acuerdos entre la empresa y cualquier tercero involucrado con datos personales

• Garantizar que los sujetos de los datos tengan total transparencia, acceso y derechos sobre toda la información que su empresa tiene sobre ellos.

¿De cuánto son las multas del GDPR por incumplimiento?

Una empresa o controlador de datos que infrinja las regulaciones establecidas puede estar sujeto a sanciones de GDPR. Las autoridades de control de cada estado miembro siguen 10 criterios para determinar la cantidad de las multas de GDPR que una empresa no conforme debería pagar (según gdpreu.org):

• * Naturaleza de la infracción: número de personas afectadas, daños sufridos, duración de la infracción y propósito del procesamiento

• Intencionalidad: si la infracción es intencionada o negligente

• Mitigación: acciones tomadas para mitigar el daño a los sujetos de datos

• Medidas preventivas: cuánta preparación técnica y organizativa había implementado previamente la empresa para evitar el incumplimiento

• Historial: infracciones anteriores relevantes, que pueden interpretarse para incluir infracciones bajo la Directiva de Protección de Datos y no solo el GDPR, y acciones correctivas administrativas anteriores bajo el GDPR, desde advertencias hasta prohibiciones de procesamiento y multas

• Cooperación: qué tan cooperativa ha sido la empresa con la autoridad de control para remediar la infracción

• Tipo de datos: qué tipos de datos se ven afectados por la infracción

• Notificación: si la infracción fue reportada de manera proactiva a la autoridad de control por la propia empresa o por un tercero

• Certificación: si la empresa se había calificado bajo certificaciones aprobadas o se había adherido a códigos de conducta aprobados

• Otros: otros factores agravantes o mitigantes pueden incluir el impacto financiero en la empresa derivado de la infracción

Si se producen múltiples infracciones para una empresa, se les exige pagar multas de acuerdo con la violación más significativa en lugar de una combinación de las mismas. Las multas del GDPR de nivel inferior equivalen a hasta 10 millones de euros o al 2% de los ingresos anuales internacionales del año anterior de la empresa, lo que sea mayor. Las sanciones de nivel superior del GDPR alcanzan los 20 millones de euros o el 4% de los ingresos anuales del año anterior, lo que sea mayor.

¿Por qué se introdujo el GDPR?

En lo que respecta a los antecedentes del Reglamento General de Protección de Datos, el sitio web de la Comisión Europea simplemente establece que "Unas normas más estrictas sobre protección de datos significan: 1. Las personas tienen más control sobre sus datos personales y 2. Las empresas se benefician de una igualdad de condiciones".

La legislación del GDPR se estableció para proporcionar una mayor protección y derechos a las personas mediante la creación de un estándar para la protección de datos en todas las empresas que operan en la UE. El Reglamento General de Protección de Datos reemplaza el conjunto anterior de leyes de protección de datos de la Unión Europea titulado Directiva de Protección de Datos, establecido en 1995.

¿Cumple Emotiv con el GDPR?

Los datos generados por los productos o servicios de Emotiv se cifran, almacenan y respaldan automáticamente de forma segura en las cuentas de usuario a través de nuestro software patentado EMOTIV Cloud. Emotiv se compromete a asegurar y manejar su información con salvaguardas administrativas, técnicas y físicas por diseño y sigue de cerca las regulaciones del GDPR, utilizando cifrado estándar de la industria.

Puede almacenar y acceder a sus datos de EEG desde cualquier lugar con tranquilidad, sabiendo que están completamente protegidos y son privados. Todos los empleados de Emotiv están capacitados en el manejo seguro y respetuoso de datos personales, de acuerdo con los requisitos del GDPR y de la Ley de Privacidad del Consumidor de California (CCPA).