Desde dos mil dieciseis, la demanda de oficiales de protección de datos (OPD) ha aumentado más del 700 por cien . Ahora hay 500,000 OPD empleados (seis veces más de lo previsto en 2017).

El gdpr asimismo ocasionó un enorme desarrollo en la demanda de oficiales de protección de datos (DPO). Un aspecto del gdpr requiere que las grandes empresas tengan un empleado o equipo dedicado a la protección de datos. Los sueldos del DPO en general llegan al rango de $ cincuenta y siete millones por no dejar en claro a los usuarios de qué forma estaban recolectando datos del motor de búsqueda de Google, YouTube y Google Maps para anuncios personalizados. Esta multa solo representa el 0,04 por cien de los ingresos anuales de Google.

Mediante todas las protestas de privacidad de datos que se han presentado, pocas han resultado en las multas de titulares vistas anteriormente. De hecho, muchos creen que las multas hasta ahora han sido una palmada en la muñeca. En respuesta al período de informe de violación de datos de setenta y dos horas requerido, el exceso de informes alcanzó un máximo histórico en tanto que las personas temían las sanciones y se apuraron a informar.

se ocupó de las compañías que notificaron sobre las violaciones de datos, ya que recibieron alrededor de 500 llamadas a la semana.

Se han presentado 144,000 protestas ante múltiples agencias de cumplimiento de empresa de protección de datos gdpr y se registraron ochenta y 9 con cero violaciones de datos. El treinta y siete por ciento todavía está pendiente de investigación o bien sanciones.

Lista de verificación de cumplimiento de GDPR

Título: Lista de verificación de la auditoría del RGPD Subtexto: utilice esta lista de verificación para asegurarse de estar preparado para cualquier cosa que el RGPD o bien otras políticas de protección de datos tengan que arrojarle. Copia: Auditoría de información: determine qué información guarda o bien procesa y quién tiene acceso al Asesor legal; asegúrese de que el asesor legal haya revisado su marco de procesamiento, métodos y políticas Designe un DPO: contrate o bien designe un oficial de protección de datos (si es preciso) o otro empleado para inspeccionar la protección de datos. Consulte a los socios: asegúrese de tener acuerdos de privacidad con cualquier tercero con el que trabaje. Política de privacidad clara. Asegúrese de que sus procesos legalmente apoyados estén claramente establecidos para los usuarios. Acceso del usuario a la información. Los clientes del servicio deben poder solicitar y reciba una lista de toda la información que tiene sobre ellos, modifique cualquier información incorrecta y solicite que suprima la información Cifrado de datos - anonimice y cifre los datos personales toda vez que sea viable Seguridad interna - cree una política de seguridad interna y eduque a su equipo a este respecto Auditorías internas - manténgase al tanto de las actualizaciones y asegúrese de que la seguridad esté a la altura del Plan de violación de datos: solidifique un plan para notificar de manera rápida y eficaz autoridades y usuarios si ocurre una violación

Si no está seguro de la efectividad del cumplimiento de su organización, repase los puntos establecidos en la lista de verificación anterior. A la larga, merece la pena tomarse el tiempo y los recursos adicionales para cumplir de forma plena con el objetivo de eludir infracciones, multas y repercusiones de reputación.

Pronosticando el futuro del GDPR

Ilustración con texto: Título: Futuro del GDPR. Copia: más legislación sobre privacidad de datos (símbolo del edificio del capitolio), mayor cumplimiento de GDPR (símbolo de chaleco policial y linterna), más presupuesto en seguridad de datos (un símbolo de alcancía), cambios en el marketing (una ilustración de gráfico de líneas) Cambios en la forma en que los sitios ganan dinero (símbolo de bolsa de dinero)

Todavía existen protección de datos muchas preguntas sin contestación cuando se trata del GDPR. Sin duda ha dejado una enorme marca en nuestros medios digitales y mercados e impactará en el futuro. Pese a las preguntas que tenemos, hay algunas conclusiones y predicciones que pueden hacerse a partir de su primer año.

Más legislación de privacidad de datos globales

La Ley de Protección al Consumidor de California (CCPA) fue una enorme señal de las tendencias legislativas que podemos aguardar en el futuro. Existe un diálogo global sobre si las leyes de privacidad de datos son o no una buena idea y, de ser de esta forma, cómo deberían ser. Se espera que otros países y estados de EE. UU. Sigan los pasos del GDPR y el CCPA.

Mayor cumplimiento de GDPR

Este primer año de GDPR ha sido un periodo de gracia en cuanto a la indulgencia de ejecución. En los próximos años, se incrementarán las medidas enérgicas contra el incumplimiento. Esto no solamente se centrará en las grandes empresas, sino también irá tras las pequeñas y medianas empresas. La aplicación exitosa depende de que las agencias aumenten el personal y los métodos de regulación.

Más presupuesto en seguridad de datos

Con más legislación y medidas enérgicas contra el incumplimiento, las empresas seguirán canalizando fondos hacia sus campos de seguridad de datos. Esto podría representar un crecimiento continuo del trabajo para los Oficiales de Protección de datos, así como para otros trabajos de seguridad de datos. La otra cara de estos cambios presupuestarios es que, teóricamente, las empresas van a tener menos fondos para otros sectores de desarrollo empresarial.

Cambios en marketing

Los especialistas en marketing se han basado en buena medida en los datos adaptados compendiados de nuestras prácticas y tendencias de Internet para hallar mercados objetivo y dar forma a sus campañas. Deberán obtener un permiso explícito para usar datos personales y ser claros sobre de qué forma compendian esa información. Los cambios y las mayores barreras que traen las leyes de privacidad de datos pueden hacer que ciertos equipos y agencias de marketing internos vuelvan a los métodos de marketing tradicionales.

Cambios en la manera en que los sitios ganan dinero

Muchos sitios no cobran a sus usuarios nada por usar su sitio, mas pagarán para mantener todo en funcionamiento vendiendo datos sobre sus usuarios a los anunciantes. Estos sitios en ocasiones se conocen como sitios "freemium". Ciertos especulan que puede haber un incremento en los sitios que cobran membresías y subscripciones para sostener sus sitios sin los datos gratuitos.

siete lecciones aprendidas del GDPR

Para resumir lo que hemos aprendido del GDPR durante el año pasado, realizamos una lista de nuestras siete primordiales conclusiones. Haga clic en el botón de descarga ahora para descargar la infografía completa con una descripción general del GDPR y las lecciones que aprendimos y consejos para mejorar en el futuro.

Hay mucho en juego: estudiar la legislación y contratar a un especialista

La comunicación es vital: sostenga actualizado a su equipo y socios

Error o intencional, no importa: tomar posesión de sus datos

Los auditores tienen en cuenta la cooperación: informe los fallos velozmente

Las voces de los clientes tienen un impacto: escuche los comentarios

La claridad es esencial: facilitar a los usuarios

La legislación y la tecnología evolucionarán: prosperar constantemente

Objetivos de la GDPR

Hay 3 principales objetivos del GDPR que se pueden dividir en: 1) proteger los derechos de los usuarios respecto a sus datos, dos) garantizar que las leyes de privacidad de datos se mantengan al día con el panorama variable de la tecnología, y tres) crear legislación unificada y congruente en toda la UE. Ciertos casos específicos que se incluyen en esas categorías se pueden ver a continuación.

Protección de los derechos de privacidad de los usuarios

Título: Permiso de derechos de privacidad de los usuarios de GDPR: las empresas precisan un permiso claro ya antes de compilar, almacenar o proporcionar los datos de los usuarios. Documentación: las empresas deben mantener documentación detallada de sus datos almacenados. están en su derecho a pedir la eliminación de sus datos personales Cambios de datos: los usuarios pueden solicitar que se corrija la información guardada inexacta Objeciones: los interesados pueden oponerse a de qué forma se utilizan sus datos

Estas condiciones cubren el GDPR derecho de un usuario a controlar si quiere compartir sus datos personales con una empresa y qué género de datos comparten.

Consentimiento: las empresas deben conseguir un permiso claro del usuario ya antes de compendiar, almacenar o distribuir sus datos.

Documentación: si se mantiene la información de un individuo, las empresas deben mantener documentación detallada sobre qué datos se retienen, de dónde proceden, de qué manera se accedió, de qué manera se procesan y el propósito de conservar los datos.

Acceso a la información: los usuarios tienen derecho a solicitar la documentación clara y detallada de lo que se encuentra en la base de datos de una empresa. Las empresas deben poder administrar toda esta información en un plazo de 30 días.

Borrado de datos: los interesados tienen derecho a pedir que las empresas eliminen sus datos personales de sus bases de datos. Cuando se solicita la supresión, la empresa debe cumplir y suministrar documentación de que los datos han sido eliminados.

Cambios de datos: los usuarios pueden solicitar que la información guardada imprecisa se ajuste y corrija.

Objeciones: los interesados pueden oponerse a cómo se usan sus datos respecto a la raza, etnia, orientación sexual, género, creencias políticas, creencias religiosas y otros tipos de perfiles.

Impacto del GDPR

Todas las reglas establecidas previamente se aplican a todas y cada una de las empresas que interaccionan o hacen negocios con ciudadanos de la Unión Europea. Esto significa que los efectos de la legislación del RGPD superan a la Unión Europea y afectan a las empresas estadounidenses, chinas y de otros países que hacen negocios con ciudadanos de la UE.

Descripción general del efecto GDPR

Esta legislación ha tenido efectos extendidos en diferentes industrias y ha tenido algunos resultados inesperados y aguardados en su primer año. Veremos estos efectos con más detalle a continuación, mas aquí hay una descripción general:

Cambiando el panorama de la protección de datos: el GDPR pone gran atención en la protección de datos y se está tomando considerablemente más de verdad en todos y cada uno de los campos.

La Ley de Privacidad del Consumidor de California (CCPA) se promulgó en el primer mes del verano de dos mil dieciocho

Se espera que más países y estados de EE. UU. Sigan los pasos del GDPR con una legislación similar

Mayor dependencia de terceros y especialistas en datos: se ha aumentado la contratación en torno a la protección de datos y el asesoramiento legal de GDPR.

En general, las empresas no estaban preparadas: debido a las estrictas sanciones y la naturaleza abierta de la legislación, muy pocas empresas se sentían confiadas en su nivel de cumplimiento.

Para diciembre de 2018, solo el 50 por ciento de las empresas creían que cumplían con GDPR

1 de cada 5 empresas pensó que el cumplimiento total era imposible

Se han otorgado menos multas de lo esperado: semeja que este primer año ha sido un periodo de gracia, en tanto que todos continúan ajustando sus prácticas.

Agencias de aplicación apabulladas por el alcance: parece haber escasez de personal que impidió a algunas agencias sostenerse al día con las protestas y notificaciones.

Géneros de regulación de privacidad de datos

Las reglamentaciones de colección de datos brindan orientación sobre cómo y en qué momento las empresas pueden compendiar datos sobre los consumidores y, en algunos casos, si las personas deben ser notificadas de que sus datos se compendian.

Las regulaciones de violación de datos le dicen a las empresas qué deben hacer en el caso de una violación de datos, como notificar a las agencias y los clientes, rastrear información sobre la violación y tomar medidas para garantizar que no ocurra una violación afín en el futuro.

Las regulaciones de acceso a datos proporcionan pautas para 1) cómo se debe manejar el acceso interno a la información, y dos) los niveles de acceso a los que tienen derecho los consumidores.

Las regulaciones de almacenamiento de datos rigen cómo deben almacenarse los datos para mantenerlos seguros. Algunas regulaciones son más específicas que otras, y por norma general cubren cosas como cuánto tiempo deben guardarse los datos y la seguridad de su infraestructura de almacenaje.

Las reglamentaciones de formación sobre privacidad de datos brindan orientación sobre a quién debe formar su empresa sobre privacidad de datos. Por lo general, esto es algo en lo que cada empleado necesita capacitación para cumplir con las regulaciones.

Las regulaciones de privacidad de datos más frecuentes

La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de de qué manera la información del paciente ha de ser manejada por los consultorios médicos, hospitales, compañías aseguradoras y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y proveedores (por ejemplo, centros de salud) protejan la información del paciente y solo permiten que se divulgue en determinadas situaciones.

HIPAA proporciona cuatro reglas generales que las empresas deben cumplir, que son:

Asegurar la confidencialidad, integridad y disponibilidad de toda la y también-PHI que crean, reciben, mantienen o transmiten;

Identificar y resguardar contra amenazas razonablemente adelantadas a la seguridad o integridad de la información;

Resguardar contra usos o bien divulgaciones razonablemente adelantados e inadmisibles; y

Garantizar el cumplimiento por parte de su fuerza laboral.

Para obtener más información sobre quién debe cumplir con HIPAA y lo que se necesita para cumplir con HIPAA, consulte esta guía.

El Reglamento General de Protección de datos (GDPR) se promulgó en dos mil dieciocho para resguardar los derechos de los ciudadanos en la UE en lo relativo a la recopilación de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los próximos criterios:

Una presencia en un país de la Unión Europea.

No tiene presencia en la Unión Europea, pero procesa datos personales de residentes europeos.

Más de 250 empleados.

Menos de 250 empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional o incluye determinados GDPR tipos de datos personales confidenciales.

Esto quiere decir que se aplica efectivamente a casi todas las empresas. Da a los clientes el derecho de saber qué datos se recopilan y establece los requisitos sobre de qué manera y cuándo las empresas deben informar las infracciones.

El RGPD es una de las reglas de privacidad de datos más estrictas de cumplir. Sí deja un enfoque escalonado de las multas y sanciones dependiendo de la relativa gravedad del delito, mas las empresas no deben contar con la clemencia; en dos mil diecinueve, British Airways fue multado con dólares americanos doscientos veintiocho millones y Marriott International fue multado con más de dólares americanos ciento veinticuatro millones por exponer millones de registros de datos personales.

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, puesto que no se trata de una regulación gubernamental y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que acepte, almacene o transmita datos de titulares de tarjetas está sujeta a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para proteger la información de sus clientes y garantizar que estén manejando y almacenando adecuadamente los datos de la tarjeta de crédito. Esto aun se aplica a las empresas que emplean distribuidores externos para gestionar los pagos con tarjeta de crédito. Todas las empresas involucradas en el comercio electrónico deben conocer bien estos requisitos y estar preparadas para asegurarse de que sus distribuidores asimismo lo estén.

La Ley Sarbanes-Oxley de dos mil dos (SOX) se promulgó en respuesta al escándalo de Enron, y se requiere que las empresas que cotizan en bolsa cumplan con los requisitos. Está desarrollado para prevenir las clases de fraude que ocurrieron al establecer requisitos para retener y almacenar registros comerciales y sanciones por destruir, alterar o falsificar registros.

Esto implica no solamente la contabilidad para asegurar que los registros sean precisos, sino asimismo la función de TI para guardar registros apropiadamente. SOX también requiere un sistema para rastrear los cambios en los registros y almacenar los registros adecuados a lo largo del período de tiempo correcto.

Las organizaciones deben probar que se dio el consentimiento en un caso en el que un individuo se opone a percibir la comunicación. Esto quiere decir que cualquier dato retenido debe tener un registro de auditoría que tenga una marca de tiempo y que informe la información que detalla exactamente en qué optó el contacto y de qué manera.

Si compra listas de marketing, aún es quien se encarga de obtener la información de consentimiento conveniente, aun si un proveedor o socio externo fue responsable de recopilar los datos.

En el mundo B2B, los vendedores se encuentran con clientes potenciales en una feria comercial, intercambian tarjetas de presentación y, cuando regresan a la oficina, añaden los contactos a la lista de correo de la empresa. En dos mil veinte, esto ya no es posible.

Las empresas tendrán que buscar nuevas formas de compilar información del usuario.

Preparativos para el cumplimiento de GDPR

Un componente clave de la legislación GDPR es la privacidad por diseño.

La privacidad por diseño requiere que todos los departamentos de una empresa observen de cerca sus datos y de qué manera los manejan. Hay muchas cosas que una empresa debe hacer para cumplir con GDPR. Si todavía no ha dado el siguiente paso hacia el cumplimiento, aquí hay algunas formas de asistirlo a iniciar.

1. Mapa de datos de su empresa

Mapa de donde proceden todos los datos personales en todo su negocio y documente lo que hace con los datos. Identifique dónde residen los datos, quién puede acceder a ellos y si existen riesgos para los datos. Esto no solo es esencial para GDPR, sino va a ayudar a prosperar la gestión de la relación con el usuario.

dos. Determine qué datos precisa mantener

No guarde más información de la necesaria y elimine los datos que no esté utilizando. Si su empresa ha recopilado un sinnúmero de datos sin ningún beneficio real, ahora es el instante de estimar qué datos son esenciales para su empresa. El RGPD fomenta un tratamiento más disciplinado de los datos personales.

En el proceso de limpieza, pregúntese:

¿Por qué exactamente estamos archivando estos datos en vez de simplemente borrarlos?

¿Por qué estamos guardando todos estos datos?

¿Qué tratamos de conseguir a través de la recopilación de todas estas categorías de información personal?

¿La ganancia financiera de eliminar esta información es mayor que encriptarla?

tres. Poner en práctica medidas de seguridad

Desarrolle y también implemente resguardas en toda su infraestructura para ayudar a contener cualquier violación de datos. Esto significa establecer medidas de seguridad para protegerse contra las violaciones de datos y tomar medidas veloces para notificar a las personas y las autoridades en el caso de que ocurra una violación.

Preocupantemente, la firma de abogados EMW descubrió que las protestas por violación de datos han aumentado en un 160 por cien desde el instante en que entró en vigencia el GDPR.

Asegúrese de consultar con sus distribuidores también. La subcontratación no lo exime de ser responsable y debe asegurarse de que tengan las medidas de seguridad adecuadas. Por poner un ejemplo, la reciente violación de datos para empresas que emplean el proveedor de encuestas de terceros.

comunicó velozmente la violación de datos e incluyó una plantilla para sus clientes del servicio que usaban su software para recopilar información personal (como se muestra ahora).

4. Revise su documentación

Según el RGPD, las personas deben consentir explícitamente la adquisición y el procesamiento de sus datos. Las casillas previamente marcadas y el consentimiento tácito ya no serán admisibles. Va a deber revisar sus declaraciones y divulgaciones de privacidad y ajustarlas cuando sea preciso.

cinco. Establecer procedimientos para el manejo de datos personales.

Como mencionamos previamente, las personas tienen ocho derechos básicos bajo GDPR.

Ahora debe establecer políticas y procedimientos sobre de qué manera manejará cada una de estas situaciones.

Por ejemplo:

¿De qué forma pueden las personas dar su consentimiento de manera legal?

¿Cuál es el proceso si un individuo quiere que se eliminen sus datos?

¿De qué manera se asegurará de que se haga en todas y cada una de las plataformas y de que verdaderamente se elimine?

Si un individuo quiere que se trasfieran sus datos, ¿de qué forma lo va a hacer?

¿De qué forma va a confirmar que la persona que pidió la transferencia de sus datos es la persona que afirma que es?

¿Cuál es el plan de comunicación en caso GDPR de una violación de datos?