in

GDPR Part II – Identificación del ciudadano de la UE: un curso en PII

GDPR GDPR Part II - Identificación del ciudadano de la UE: un curso en PII

Las multas por incumplimiento del Reglamento son el 4% de los ingresos globales o 20 millones de euros, lo que sea mayor.

En lo que respecta a las multas asociadas con el Reglamento, la aplicación es dura, y además de las multas, el responsable del tratamiento y el encargado del tratamiento, juntos pueden además ser responsable de la monto total de los daños al interesado.

Las multas por incumplimiento son asombrosas. Dime, ¿ya he llamado tu atención? El período de gracia del Reglamento está a punto de terminar. 25 de mayoth llegará pronto, y tengo que preguntar … ¿está su empresa preparada para cumplir con el RGPD? Lo suficientemente interesante, con todas las conversaciones, presentaciones, seminarios web y artículos que yo y otros hemos dado, todavía hay empresas que no han iniciado una iniciativa para comenzar el proceso de cumplimiento de GDPR.

Hace solo unas semanas, di una presentación de GDPR a un grupo de aproximadamente 100 personas, y cuando pregunté cuántas personas estaban involucradas en una iniciativa para cumplir, menos de dos puñados de la audiencia levantaron la mano. Como discutimos las razones por las cuales, el problema sigue siendo doble: 1) existe confusión sobre si una empresa debe cumplir con las normas y 2) estas mismas empresas están completamente confundidas sobre qué hacer.

En el artículo del mes pasado sobre el RGPD, Parte I, traté de ayudar a las empresas a comprender cómo funciona el Reglamento, los derechos del interesado, los términos, cómo determinar si una empresa necesitaba cumplir y cómo empezar a prepararse para el RGPD. La única conclusión del artículo fue que el Reglamento es aplicable tanto a la Unión Europea como a las empresas de fuera de la UE, y que se aplica a cualquier empresa que esté procesando datos personales para ciudadanos de la Unión Europea. sin importar dónde se encuentren en el mundo.

En el resto de este 2Dakota del Norte artículo, vamos a discutir la información de identificación personal o PII. Según The Regulation, la PII tampoco se ha definido realmente. Por lo tanto, intentaré definir varios tipos de PII y deberá decidir qué tipo de PII tiene su empresa, así como este otro término llamado uso comercial razonable.

La información de identificación personal es cualquier información que se puede utilizar para identificar a un interesado, una persona física y la PII debe protegerse para un ciudadano de la UE. La información personal puede ser directa o indirecta, por referencia a algún tipo de identificador. Estos identificadores pueden incluir nombre, ID, número, dirección de correo electrónico, número de teléfono, datos de ubicación, identificador en línea / dirección IP o cookie. También puede incluir publicaciones en redes sociales, identidad física, genética, fisiológica, médica, económica, cultural, social o incluso preferencia sexual. La PII puede incluir la ubicación (ya sea física o digital) e incluso datos bancarios o de tarjetas de crédito. La PII incluye todos los tipos de identificadores que revelan la identidad de un interesado.

El DPO o el oficial de protección de datos tiene la responsabilidad de asegurarse de que su empresa cumpla con el Reglamento y el responsable del tratamiento tiene la responsabilidad de garantizar que el tratamiento se produzca teniendo en cuenta los derechos del interesado. Es responsabilidad del procesador de datos proteger la PII de un ciudadano de la UE durante el procesamiento.

Si la PII se transfiere entre los Estados miembros de la UE, se debe a una disposición llamada portabilidad, y cuando la PII se ha transferido, no debe ser repetitiva, los datos transferidos solo pueden afectar a un número limitado de interesados ​​y los datos solo pueden usarse por una razón legítima y convincente; si estos intereses no son anulados por los intereses, derechos o libertades del interesado.

Las razones legítimas y convincentes pueden incluir:

  • Cuando ninguno de los otros motivos de transferencia sea aplicable
  • Para investigación científica, histórica o estadística
  • Por las expectativas legítimas de la sociedad de un aumento del conocimiento (un ejemplo es la ciencia)
  • Cuando el interesado ha dado su consentimiento explícito sobre la transferencia.
  • Cuando la transferencia sea necesaria en relación con un contrato o un reclamo legal
  • Es de interés público (o si está relacionado con la seguridad, criminal o médico)

Ahora, analicemos el uso comercial razonable, en el que una empresa necesita acceder a la información para fines comerciales legítimos y el procesamiento de los datos se produce dentro de un período de retención de datos.

Un área de importancia dentro de cualquier programa de cumplimiento es una estrategia de retención de datos, donde las empresas identifican y segmentan los datos y luego determinan el período de clasificación y retención de esta información. Un ejemplo es que la ley estadounidense dicta que el departamento de recursos humanos debe conservar los datos de los empleados durante un período de siete años. Estos datos se clasificarían como confidenciales con un período de conservación de siete años. La retención de estos datos es razonable, donde la empresa puede almacenar y utilizar la información dentro de este período de tiempo.

Ahora, consideremos un cliente que visita su sitio web. Si el sitio agrega una cookie a la sesión y rastrea las preferencias o el comportamiento del cliente y ofrece sugerencias de productos, eso está bien para la sesión, pero a menos que el consumidor haya dado su consentimiento para continuar promocionando los bienes o servicios de la compañía; continuar comunicándose con el cliente no sería un ejemplo de uso razonable y podría no estar dentro del período de retención.

Hay muchos matices con respecto a la PII, la portabilidad y los derechos del interesado. Recuerde, el Reglamento está abierto a interpretación y es mejor si consulta con un abogado sobre cómo y por qué su empresa debe cumplir con GDPR.

En el 3rd entrega de este artículo, discutiremos cómo la tecnología puede ayudarlo a lograr el cumplimiento. Si cree que es posible que su empresa deba cumplir con este Reglamento, solo puedo ofrecerle que debe comenzar ahora.

@ 2018 Todos los derechos reservados

Sue Bergamo es el CIO y CISO de Episerver, una empresa de comercio digital global. Puede ser contactada en sue.bergamo@episerver.com.

* El contenido de este artículo son opiniones exclusivas del autor.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Execute Cómo rodearse de los mejores talentos cuando no tiene dinero

Cómo rodearse de los mejores talentos cuando no tiene dinero

3908061848 73d85e00c1 z Seis pasos para detener la lucha contra incendios diaria y diseñar una cultura a prueba de fuego para su empresa

Seis pasos para detener la lucha contra incendios diaria y diseñar una cultura a prueba de fuego para su empresa