Claves de Empresa GDPR que debería saber

Tipos de regulación de privacidad de datos

Las reglamentaciones de colección de datos brindan orientación sobre de qué manera y en qué momento las empresas pueden compendiar datos sobre los usuarios y, en ciertos casos, si las personas deben ser notificadas de que sus datos se recopilan.

Las regulaciones de violación de datos le dicen a las empresas qué deben hacer en el caso de una violación de datos, como notificar a las agencias y los clientes del servicio, rastrear información sobre la violación y tomar medidas para asegurar que no ocurra una violación afín en el futuro.

Las regulaciones de acceso a datos proporcionan pautas para 1) de qué forma se debe manejar el acceso interno a la información, y 2) los niveles de acceso a los que tienen derecho los consumidores.

Las regulaciones de almacenamiento de datos rigen de qué forma deben almacenarse los datos para sostenerlos seguros. Algunas regulaciones son más concretas que otras, y en general cubren Empresa GDPR cosas como cuánto tiempo deben guardarse los datos y la seguridad de su infraestructura de almacenaje.

Las reglamentaciones de capacitación sobre privacidad de datos brindan orientación sobre a quién debe formar su empresa sobre privacidad de datos. Generalmente, esto es algo en lo que cada empleado precisa capacitación para cumplir con las regulaciones.

Las regulaciones de privacidad de datos más habituales

La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de cómo la información del paciente ha de ser manejada por los consultorios médicos, centros de salud, compañías de seguros y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y distribuidores (por ejemplo, centros de salud) protejan la información del paciente y solo dejan que se difunda en determinadas situaciones.

HIPAA da cuatro reglas generales que las empresas deben cumplir, que son:

Asegurar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, mantienen o transmiten;

Identificar y resguardar contra amenazas razonablemente anticipadas a la seguridad o bien integridad de la información;

Resguardar contra usos o bien divulgaciones razonablemente anticipados e inadmisibles; y

Asegurar el cumplimiento por la parte de su fuerza laboral.

Para obtener más información sobre quién debe cumplir con HIPAA y lo que se necesita para cumplir con HIPAA, consulte esta guía.

El Reglamento General de Protección de datos (GDPR) se promulgó en dos mil dieciocho para proteger los derechos de los ciudadanos en la Unión Europea en lo relativo a la colección de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los próximos criterios:

Una presencia en un país de la UE.

No tiene presencia en la UE, mas procesa datos personales de residentes europeos.

Más de doscientos cincuenta empleados.

Menos de doscientos cincuenta empleados, mas su procesamiento de datos afecta los derechos y libertades de los interesados, no es eventual o incluye determinados géneros de datos personales confidenciales.

Esto significa que se aplica ciertamente a casi todas las empresas. Otorga a los clientes el derecho de saber qué datos se recopilan y establece los requisitos sobre de qué manera y cuándo las empresas deben informar las infracciones.

El RGPD es una de las normas de privacidad de datos más estrictas de cumplir. Sí permite un enfoque escalonado de las multas y sanciones en función de la relativa gravedad del delito, mas las empresas no deben contar con la clemencia; en 2019, British Airways fue multado con $ doscientos veintiocho millones y Marriott International fue multado con más de dólares americanos 124 millones por exponer millones de registros de datos personales.

Las Reglas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, en tanto que no se trata de una regulación gubernamental y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Reglas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que admita, almacene o bien transmita datos de titulares de tarjetas está sujeta a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para proteger la información de sus clientes del servicio y garantizar que estén manejando y guardando apropiadamente los datos de la tarjeta de crédito. Esto incluso se aplica a las empresas que usan proveedores externos para gestionar los pagos con tarjeta de crédito. Todas las empresas involucradas en el comercio electrónico deben conocer bien estos requisitos y estar preparadas para cerciorarse de que sus proveedores asimismo lo estén.

La Ley Sarbanes-Oxley de 2002 (SOX) se decretó en respuesta al escándalo de Enron, y se requiere que las empresas que cotizan en bolsa cumplan con los requisitos. Está desarrollado para prevenir los tipos de fraude que ocurrieron al establecer requisitos para retener y guardar registros comerciales y sanciones por destruir, trastocar o falsificar registros.

Esto implica no solamente la contabilidad para garantizar que los registros sean precisos, sino más bien asimismo la función de TI para almacenar registros adecuadamente. SOX también requiere un sistema para rastrear los cambios en los registros y almacenar los registros adecuados durante el período temporal correcto.