Actualmente en el panorama internacional tenemos dos referentes
normativos que debemos considerar para cualquier despliegue o modelo de negocios que queramos desarrollar en un entorno digital. Estos son GDPR y CCPA, en esta clase estaremos revisando las características mas relevantes de estos dos modelos.
GDPR
1. Protege los datos personales de los Residentes en la Unión Europea
2. Aplica a todas las personas y empresas que traten datos residentes en la UE. 3. Art. 15. Acceso (30 días) 4. Art. 16. Rectificación 5. Art. 17. Eliminación (olvido) 6. Art. 18. Restricción de Procesamiento 7. Art. 19. Portabilidad 8. Art. 21. Objeción 9. Art. 22. No ser objeto de decisiones automatizadas
10 Para el tratamiento de datos las empresas deben demostrar que
cuentan con el consentimiento inequívoco de los titulares de los datos 11. Obliga a realizar Evaluaciones de Impacto de Privacidad
12. Quienes traten datos deben tener la capacidad de garantizar:
Confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. 13. Las Autoridades de Protección de Datos de los Países de la Unión Europea pueden imponer multas según el tipo de infracción: Las menos graves se sancionarán con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos). Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos)
CCPA
1. Protege la Privacidad de los Consumidores en el Estado de California
2. Aplica a grandes empresas que recopilen y/o controlen información personas residentes de California y además deben cumplir alguna de estas tres condiciones: Ingresos brutos anuales mayores de $25.000.000 Tratar anualmente información personal de 50.000 o más residentes, hogares o dispositivos en California (visitas web). Obtener el 50% o más de sus ingresos anuales por la venta de información personal.
3. Acceso - (45 días)
4. Derecho a saber (se deben informar las categorías de información personal que han vendido o revelado en los últimos 12 meses) 5. Eliminación * 6. A oponerse a la venta - Son los consumidores los que deben hacer una exclusión voluntaria (Hacer Click en la opción * No vender) A no ser discriminado 7. Las empresas deben informar las finalidades para las cuales recolectan datos, si los usan para categorizar o, sí ese uso implica fines comerciales y/o si se está compartiendo data con terceros 8. Permite a los negocios ofrecer incentivos financieros a los consumidores por el uso y recopilación de su información personal, pero los obliga a identificar plenamente los activos y los flujos de información que posee. 9. Obliga a informar antes de que la información sea recolectada 10. Se debe implementar controles razonables de seguridad. 11. Le otorga la competencia al Procurador General del Estado para investigar y sancionar hasta con $ 7.500 cuando se den accesos no autorizados, o filtración de datos, robo o divulgación de información personal no encriptada o no autorizada por el consumidor.
Estas dos Normas, que si bien no tienen aplicación directa en
Latinoamérica, ya que la mayoría de nuestros países cuentan con su propia regulación de seguridad y protección de datos personales, se están convirtiendo en estándares internacionales a tener en cuenta para el uso y aprovechamiento de información personal en los Negocios Digitales, toda vez que definen una serie de derechos, prácticas, exigencias, buenas prácticas y controles que cualquier negocio digital con vocación de internacionalización debe incorporar.
Conforme a todo lo anterior, para dar cumplimiento al Reglamento
Europeo de Protección de datos y a la Ley de Privacidad del Consumidor de California, los emprendimientos digitales deben identificar sus activos de información, analizar cómo los están gestionando e incorporar las medidas técnicas de prevención de pérdida de datos, que sean necesarias acorde con la información que se maneje. Para ello es importante implementar dentro de la organización un modelo de Gestión de Riesgos de seguridad, como el que estamos estudiando en este curso.
Para mayor información ver:
ISO 31000 MAGERIT Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
Y si deseas profundizar más sobre el GDPR y la CCPA en estos
enlaces encuentras mucha información muy valiosa. Si tienes dudas dejame un comentario en esta clase.