Como con la mayoría de las regulaciones, GDPR no es una lista clara de reglas sobre qué hacer y qué no. Por lo tanto, las preguntas al respecto a menudo son demasiado amplias para manejarlas en un sitio de preguntas y respuestas. Existen muchos mitos y simplificaciones incorrectas en torno a la regulación, y toda una industria se basa en el temor a las sanciones impuestas por la regulación.
Esta respuesta intenta dar una visión general práctica del tema. No soy abogado, pero he estado trabajando en este tema casi desde que se introdujo, primero con un enfoque de recopilación de información para esperar y ver , y actualmente con otro enfoque práctico, prioritario e iterativo.
No sabemos (todavía) cómo los tribunales interpretarán la regulación, y muchas compañías todavía están esperando ver qué medidas están tomando otras. Como Server Fault es para profesionales de TI, no somos abogados que puedan interpretar la regulación y su relación con otras leyes. Incluso si pudiéramos, las preguntas de estilo Q / A serían muy largas para tener toda la información detallada necesaria para responder: el cumplimiento de GDPR no es una cuestión de acciones individuales, sino una estrategia completa dentro de su empresa. Si necesita hacer tales preguntas, es posible que necesite contratar a un consultor o incluso un abogado. Muchos, sin embargo, sobrevivirán sin uno.
Debe crear (posiblemente con algún consejo legal) su propia estrategia y, en base a eso, decidir qué acciones está realizando para cumplir con GDPR. Cuando intenta implementar esos cambios en un sistema de información real, puede encontrar problemas técnicos sobre cómo se debe lograr algo. ¡Entonces es cuando la pregunta se ha reducido al alcance de Falla del servidor!
Para comenzar, debe saber para qué sirve la regulación. Básicamente es un marco legal para garantizar que los datos personales se manejen con cuidado durante toda su vida útil, desde la recopilación hasta la eliminación. El artículo 5 del RGPD describe los principios para el procesamiento de datos personales, en resumen:
- legalidad, equidad y transparencia
- limitación de propósito
- minimización de datos
- exactitud
- limitación de almacenamiento
- integridad y confidencialidad.
El RGPD otorga a los interesados datos, es decir, el control de los ciudadanos sobre sus datos personales, y herramientas para garantizar que se respeten estos principios. Estos incluyen los derechos de acceso a los propios datos, corregirlos y moverlos, y borrarlos, es decir, el derecho a ser olvidado (si ninguna otra ley requiere su preservación). También ofrece la posibilidad de sanciones, y su empresa podría necesitar designar un oficial de protección de datos .
La mayoría de los principios ya se han implementado en la legislación nacional (debido a la Directiva de protección de datos 95/46 / CE), lo que hace que el cambio sea bastante limitado para las empresas dentro de la UE. Las empresas fuera de la UE pueden tener un poco más que hacer si procesan los datos personales de los ciudadanos de la UE.
Una cosa importante que cambia es la responsabilidad , que se logra mejor en la práctica al documentar sus procedimientos a fondo:
- cómo y por qué se recopilan los datos personales
- qué hace que el procesamiento sea legal (el consentimiento es solo una condición del Art. 6 )
- cómo se almacenan y procesan los datos
- quién tiene acceso a los datos y cómo controla y audita esto
- si se elimina (automáticamente / práctica estándar) cuando expira el motivo del almacenamiento
- cómo maneja los riesgos involucrados, es decir, el análisis de riesgos.
En mi opinión, si ha estado pensando cuidadosamente en estas cosas, solucionó los problemas y mitigó los riesgos que descubrió, y luego documentó todo esto, debería estar lejos de las sanciones, incluso si sufre una intrusión. Habrá un océano de posibles comportamientos negligentes entre su situación y el tipo de comportamiento que lo hace responsable de € 20 millones / 4% de las multas de facturación .