El RGPD fortalecerá la protección de los derechos fundamentales del usuario en el entorno online y les devolverá el control de su información personal. Pero, ¿qué sucede con las empresas?
- Mito número uno: “El RGPD solo afecta a empresas de la Unión Europea”
Lejos de ser una legislación que solo afecta a estados miembros de la Unión Europea, las normas del RGPD se aplicarán a todas las empresas que ofrezcan bienes o servicios a personas de la UE, independientemente de dónde se encuentren sus oficinas o servidores. Por lo tanto, el RGPD se aplica a todas las compañías que procesan información de ciudadanos de la UE, haciendo de esta la primera ley mundial de protección de datos. Por ejemplo, si un ciudadano de la UE utiliza una red social con sede en Estados Unidos, realiza una transacción en un comercio electrónico de Japón o recurre a una plataforma argentina para alquilar el alojamiento para sus vacaciones, todas esas empresas deben ajustarse al RGPD .
- Mito número dos: “Todos los incidentes de seguridad deben ser reportados en menos de 72 horas”
Este es uno de los mitos más extendidos ya que se ha aceptado como regla general, sin detenerse en los matices. En primer lugar, solo las filtraciones de datos personales deben ser reportadas; pero no es obligatorio en el caso de incidentes de seguridad o filtraciones de datos que no sean de carácter personal. Esto quiere decir que cualquier filtración que afecte a la confidencialidad o integridad de la información personal sí deberá ser reportada.
Además, el plazo límite de 72 horas no empieza cuando ocurre el incidente, sino cuando la empresa es consciente de que ha sufrido una violación de datos personales. Si no es posible reportar a la autoridad responsable de la protección de datos en el plazo de 72 horas, el límite se puede extender, siempre y cuando la organización justifique el retraso.
- Mito número tres: “Debemos cifrar todos los datos para cumplir con el RGPD ”
Esto es falso por diversas razones. El RGPD a lo que obliga es a implementar medidas que provean de un nivel de seguridad apropiado, basado en una evaluación del riesgo que supone cualquier acción que requiera, por ejemplo, el procesamiento o el almacenamiento de datos personales.
Aunque el cifrado es una medida recomendada, no es imprescindible. Todo depende de los riesgos asociados a no cifrar dichos datos personales. De tal modo, en el caso de datos tan sensibles como la información médica de pacientes, el RGPD además de recomendar el cifrado, sugiere que se acompañe de medidas de seguridad más robustas como algoritmos más seguros.
