¿Qué es GDPR y por qué veo ventanas emergentes?
Los datos son más importantes para nuestras vidas que nunca. Desde los servicios en línea que la gente usa hasta los centros comerciales, hay océanos de datos que, cuando se administran de manera inadecuada, podrían violar la privacidad de las personas y reducir su calidad de vida.
Es por eso que las regulaciones de protección de datos como GDPR (Reglamento general de protección de datos) son tan importantes.
Uno de los principales cambios que introdujo el RGPD se encuentra en la forma en que los sitios web utilizan las ventanas emergentes. Si se pregunta qué es el RGPD y por qué ve ventanas emergentes sobre sus datos en los sitios web, este artículo es para usted.
¿Qué es el RGPD?
La Comisión Europea redactó por primera vez el RGPD en 2016. El reglamento entró en vigor en 2018, proporcionando normas diseñadas para dar a los ciudadanos de la UE un mayor control sobre sus datos personales. Desde entonces, el GDPR ha crecido en influencia a medida que más países fuera de la UE lo aplican en sus regiones.
Principios de GDPR
GDPR tiene como objetivo garantizar que tanto los ciudadanos como las empresas puedan beneficiarse de la economía digital. Según la UE, el RGPD está diseñado para "armonizar" las leyes de privacidad de datos en sus estados miembros y proporcionar más protección de datos y derechos de privacidad a las personas.
El RGPD se basa en siete principios, algunos de los cuales existían en normas de protección de datos anteriores. Los siete principios de GDPR incluyen:
- Licitud, equidad y transparencia
- Limitación de propósito
- Minimización de datos
- Precisión
- Limitación de almacenamiento
- Integridad y confidencialidad (seguridad)
- Responsabilidad
Controladores y procesadores de datos
El RGPD debe ser seguido por los controladores y procesadores de datos. Los controladores son organizaciones que ejercen control sobre los propósitos y medios del procesamiento de datos personales. GDPR clasifica a los controladores como empresas que deciden por qué y cómo se deben procesar los datos personales.
En ciertos casos, una organización puede considerarse un controlador conjunto si determina conjuntamente por qué y cómo se deben procesar los datos personales junto con una o más organizaciones.
Se puede encontrar un ejemplo de un controlador de datos conjunto cuando dos empresas crean un sitio web para vender sus productos y compartir datos de clientes. Ambas empresas podrían clasificarse como controladores conjuntos debido a los servicios combinados que ofrecen y la plataforma común que diseñaron y utilizan.
Los procesadores de datos son personas u organizaciones que procesan datos personales para los controladores. Un ejemplo de procesador es una empresa de impresión que utiliza los datos personales de los clientes de un cliente para crear material de marketing digital siguiendo sus instrucciones.
Según el RGPD, los controladores y procesadores deben seguir las regulaciones, ya que el incumplimiento de las reglas puede llevarlos a tener que pagar enormes multas o sufrir daños a su reputación. Las regulaciones giran en torno a cómo los controladores y procesadores recopilan y usan los datos personales.
Información personal
Los datos que se utilizaron para identificar a una persona constituyen datos personales según el RGPD. A menudo, los datos personales vienen en forma de un identificador en línea o con características especiales que expresan identidad física, psicológica, genética, mental, comercial, cultural o social.
Los datos personales son un elemento clave de GDPR. Esto se debe a que GDPR solo se aplica al uso de datos personales. Según la legislación vigente, los tipos de datos que pueden clasificarse como datos personales incluyen:
- Nombre
- Número de identificación
- Localización
- Habla a
- Número de Tarjeta de Crédito
- Datos de la cuenta
- Número de placa
- Número de cliente
Categorías especiales de datos personales
Los estándares de protección para categorías especiales de datos personales son mucho más altos que los estándares para datos personales generales. Las categorías especiales de datos incluyen:
- Datos genéticos
- Información biométrica
- Datos de salud
- Opiniones politicas
- Convicciones religiosas o ideológicas
- Afiliación sindical
- Datos personales que revelen orígenes raciales y étnicos.
GDPR pone mucho énfasis en la transparencia. Por esta razón, requiere que los operadores de sitios web obtengan el consentimiento de los usuarios para usar sus datos protegidos.
¿Por qué veo ventanas emergentes de solicitud de cookies y datos?
Siempre que visita un sitio web, es posible que se guarde un archivo de cookies en su dispositivo. Este archivo contiene información sobre el sitio web y usted. El sitio web puede utilizar la información para adaptar la experiencia a usted, utilizando la información que ha guardado sobre usted.
La información en un archivo de cookie puede incluir información de identificación personal probablemente protegida por GDPR. En consecuencia, los sitios web deben obtener su consentimiento antes de recopilar sus datos con cookies.
Algunos sitios web requieren que los usuarios acepten todas las cookies antes de poder continuar usando el sitio web. En algunos casos, los usuarios tienen más opciones sobre los tipos de cookies que permiten, mientras que otros sitios web optan por no recopilar información u obligar a los usuarios a responder al banner de cookies.
¿Por qué el RGPD no se aplica al Reino Unido?
Una vez que el Reino Unido completó el período de transición del Brexit (como parte del proceso de separación de la UE), el GDPR dejó de aplicarse a la nación. Dado que el Reino Unido ya no forma parte de la UE, el RGPD no se aplica directamente a la nación. Sin embargo, la regulación sigue influyendo indirectamente en la protección de datos en el Reino Unido.
El Reglamento DPPEC (Protección de datos, privacidad y comunicaciones electrónicas) de 2019 se utilizó para aplicar algunos de los requisitos de GDPR en la Ley de Protección de Datos 2018 del Reino Unido (DPA 2018). El Reino Unido fusionó los requisitos del RGPD de la UE con el DPA 2018 para crear un nuevo conjunto de reglas de protección de datos, conocido como el "RGPD del Reino Unido".
GDPR y otras regulaciones regionales
Se siguen introduciendo leyes de privacidad de datos con disposiciones similares a las del RGPD en diferentes partes del mundo. Como resultado, más regiones que nunca (especialmente aquellas en Europa) tienen leyes y regulaciones locales que son compatibles con GDPR.
La Lei Geral de Proteçao de Dados (LGPD) de Brasil se basa directamente en el RGPD. El reglamento requiere que las empresas que deseen hacer negocios en Brasil cumplan con sus regulaciones de protección de datos o paguen multas. La definición de información personal en la LGPD es similar a la definición en el GDPR. Si bien el GDPR define la información personal como,
En los EE. UU., Cada estado tiene sus propias leyes de privacidad. La Ley de Privacidad del Consumidor de California (CCPA) contiene las reglas de privacidad de datos más estrictas de EE. UU. Muchas de sus disposiciones se superponen con GDPR. Mientras que el RGPD requiere que las empresas soliciten a los usuarios de su sitio web que acepten cookies y otras tecnologías de seguimiento, la CCPA exige que las empresas tengan un enlace "No vender mi información" o "No vender mi información personal".
Incluso antes de la introducción del GDPR, muchos estados de la UE tenían regulaciones con reglas similares. En muchas naciones de la UE, la responsabilidad es el único principio que sus reglas de protección de datos no tenían antes de aplicar el RGPD.
Protección de los derechos individuales
Con 99 artículos individuales, el RGPD se considera el conjunto de reglas de protección de datos más estricto del mundo.
Cuando se compara con otras regulaciones regionales, la razón de esto es clara. Se basa en regulaciones preexistentes, agregando más reglas para proteger los derechos de las personas. El RGPD ha simplificado el proceso de protección de la privacidad de los datos, tanto que incluso los sitios web sin rostro utilizan ventanas emergentes para obtener el consentimiento del usuario antes de recopilar sus datos con cookies.