Protección de datos para empresas

Adoptada en 1995 por la Unión Europea, la Directiva de protección de datos se conoce oficialmente como Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La Directiva de protección de datos es vinculante en los Estados miembros de la UE y regula la forma en que se recogen y procesan los datos personales en la Unión Europea.

Cómo funcionaba la Directiva de Protección de Datos

En los primeros años de aplicación de la Directiva las sanciones para las empresas no eran tan duras como ahora. En estos momentos el incumplimiento de la normativa sobre protección de datos para empresas puede llegar a causar su quiebra.

Cuando la Comisión Europea se dio cuenta de que los flujos de datos se veían obstaculizados por leyes dispares de privacidad de datos en todos los estados de la UE, adoptó las directrices de la OCDE en la Directiva de Protección de Datos, un conjunto vinculante de requisitos de protección de datos para los estados miembros de la UE.

En el artículo 2 a) de la Directiva sobre protección de datos se definen los datos personales como "toda información relativa a una persona física identificada o identificable (el "interesado"); se entiende por persona identificable la que puede ser identificada, directa o indirectamente, en particular mediante un número de identificación o uno o varios factores específicos de su identidad física, fisiológica, mental, económica, cultural o social". En esencia, los datos se convierten en personales si alguna parte de la información puede vincularse a una persona determinada. Esto se considera así incluso si esa persona concreta no puede establecer el vínculo por sí misma. Entre los ejemplos de datos personales protegidos por la DPD se incluyen:

• Nombres
• Números de identificación emitidos por el gobierno
• Los números de las tarjetas de crédito
• Los estados de cuenta bancarios
• Direcciones

Una historia de años sobre las regulaciones de protección de datos de la UE que condujeron a la GDPR.

La GDPR sustituye a la Directiva de Protección de Datos, ha eliminado completamente la DPD, y es en una ley nacional para todos los Estados miembros de la Unión Europea.

Alcance, sanciones y definiciones clave

En primer lugar, si procesa los datos personales de ciudadanos o residentes de la UE, o si ofrece bienes o servicios a esas personas, entonces la GDPR se aplica a usted aunque no esté en la UE.

En segundo lugar, las multas por violar la GDPR son muy altas. Hay dos niveles de penalización, que alcanzan un máximo de 20 millones de euros o el 4% de los ingresos globales (el que sea más alto), además de que los interesados tienen derecho a solicitar una indemnización por daños y perjuicios.

La GDPR define una serie de términos legales en detalle. A continuación se presentan algunos de los más importantes:

• Datos personales - Los datos personales son cualquier información que se relacione con un individuo que pueda ser identificado directa o indirectamente. Los nombres y las direcciones de correo electrónico son obviamente datos personales. La información de localización, la etnia, el género, los datos biométricos, las creencias religiosas, las cookies de la web y las opiniones políticas también pueden ser datos personales. Los datos seudónimos también pueden entrar en la definición si es relativamente fácil identificar a alguien a partir de ellos.
• Procesamiento de datos - Cualquier acción realizada sobre los datos, ya sea automatizada o manual. Los ejemplos citados en el texto incluyen recolectar, registrar, organizar, estructurar, almacenar, usar, borrar... así que básicamente cualquier cosa.
• Sujeto de los datos - La persona cuyos datos son procesados. Son sus clientes o visitantes del sitio.
• Controlador de datos - La persona que decide por qué y cómo se procesan los datos personales. Si es un propietario o empleado de su organización que maneja datos, ese es usted.
• Procesador de datos - Un tercero que procesa datos personales en nombre de un controlador de datos. El GDPR tiene reglas especiales para estos individuos y organizaciones. Podrían incluir servidores en nube o proveedores de servicios de correo electrónico.