Nueva ley GDPR: las empresas tendrán 72 horas para avisar a los usuarios en caso de hackeos

¿Qué es y cómo va a cambiar internet la nueva ley de protección de datos? . A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.

¿Qué es GDPR (o RGPD)?

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El nuevo Reglamento General de Protección de Datos Europeo (GDPR, General Data Protection Regulation) fue aprobada por el Parlamento Europeo y el Consejo el 27 de abril de 2016, entrando en vigor el 25 de mayo de 2016 y aplicable a partir del 25 de mayo de 2018. 

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.

• Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 
• Los usuarios tienen derecho de rectificación, derecho de supresión, derecho portabilidad (descargar todos tus datos) de tus datos personales, es decir, puedes acceder, rectificar, limitar y suprimir tus datos. Derecho al olvido
• Adiós al consentimiento por omisión, se necesita consentimiento explícito, en algunas situaciones
  
• Prohibido pre-marcar casillas (casillas premarcadas) en formularios
• Edad del menor con la nueva ley RGPD es de 16 años y no 14 años como hasta ahora

72 horas para informar sobre incidentes o violación de seguridad

• Las empresas deberán hacer públicas las violaciones de seguridad que sufran y a comunicárselo a los usuarios afectados en un plazo de 72 horas, lo que hará crecer el presupuesto destinado a la seguridad de redes en las corporaciones ante la obligatoriedad de informar sobre estos incidentes, como ya sucede en Estados Unidos

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. ¿Cuántas veces nos hemos enterado, incluso años después de que sucedieran, de incidentes de seguridad en diversas empresas?

Con la entrada en vigor de GDPR las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.

Esta normativa afecta a todas las empresas que traten datos de ciudadanos europeos, independientemente de su lugar de origen

Delegado de protección de datos (DPD), el responsable de Datos

Podrá formar parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de servicios.

Pero las empresas, además, deberán tener un responsable de los datos si procesan datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud.

El límite de 72 horas puede suponer un verdadero desafío para las empresas. Así al menos lo considera Lorenzo Martínez, experto en seguridad, quien asegura que "quienes nos dedicamos a la respuesta ante incidentes, sabemos que si éste ha tenido la suficiente envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede llegar a ser sumamente difícil dar una respuesta en menos de 72 horas".

Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés). Ya hemos visto que no todas las empresas deben tener uno, pero de haberlo se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la capacitación del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras.

En el artículo 4 del RGPD se establecen una serie de definiciones entre las que tenemos:

• Data controller (responsable del tratamiento)
• Data processor (encargado del tratamiento)

Agencia Española de Protección de Datos (AEPD): Tolerancia cero

Hay que tener mucho cuidado al manejar las nuevas tecnologías porque algunas conductas no sólo pueden acarrear multas, sino también prisión. Este es el mensaje conjunto que quieren enviar la Agencia Española de Protección de Datos (AEPD) y la Fiscalía, A partir del 25 de mayo (fecha en la que se aplica directamente el nuevo reglamento general de Protección de Datos), si recibimos denuncias sobre asuntos de privacidad, la agencia va a tener tolerancia cero.

• Documento PDF: Guía Protección de Datos y Prevención Delitos

Entre 2016 y 2017, se ha incrementado en un 150% las denuncias por acoso permanente.

• LA INFORMACIÓN PERSONAL EN INTERNET Y SUS CONSECUENCIAS

• 2.1. Descubrimiento, revelación de secretos e integridad moral. 
• 2.2. Amenazas, coacciones, acoso.
• 2.3. Calumnias e injurias.
• 2.4. Violencia de género.
• 2.5. Libertad e indemnidad sexual.
• 2.6. Suplantación de identidad.
• 2.7. Odio.
• 2.8. Estafas.
• 2.9. Daños informáticos. 

Pánico a las sanciones económicas: Multas

Las sanciones se disparan: hasta 20 millones de euros para los casos más extremos, o el 4% de la facturación anual o global en caso de empresas. Las multas en casos menos graves pueden alcanzar los diez millones de euros o cuantía equivalente al 2 % del volumen de negocio total

Algunas empresas están decidiendo no ofrecer servicios a los Europeos cuando su volumen de negocio no es realtivamente importante.

Cuidado con con los correos de phishing que intentaban pasar como emails relacionados con el GPDR.

Expresiones  como  ciberacoso,  ciberbullying,  sexting,  grooming,  phising,pharming  o  carding,  que  nos  van  resultando  cada  vez  más  familiares,  son  términos  en  inglés  queidentifican situaciones de acoso, amenazas, coacciones, revelación de secretos, delitos sexuales, violencia de género o estafas.

Fuentes:
https://www.xataka.com/legislacion-y-derechos/gdpr-rgpd-que-es-y-como-va-a-cambiar-internet-la-nueva-ley-de-proteccion-de-datos
http://www.publico.es/sociedad/privacidad-proteccion-datos-senala-conductas-redes-son-delito-anuncia-tolerancia-cero-violaciones-privacidad.html