5 datos sobre Empresa RGPD

Tipos de regulación de privacidad de datos

Las reglamentaciones de colección de datos brindan orientación sobre cómo y en qué momento las empresas pueden recopilar datos sobre los consumidores y, en algunos casos, si las personas han de ser notificadas de que sus datos se compendian.

Las regulaciones de violación de datos le dicen a las empresas qué deben hacer en el caso de una violación de datos, como avisar a las agencias y los clientes, rastrear información sobre la violación y tomar medidas para asegurar que no ocurra una violación similar en el futuro.

Las regulaciones de acceso a datos dan pautas para 1) cómo se debe manejar el acceso interno a la información, y dos) los niveles de acceso a los que tienen derecho los usuarios.

Las regulaciones de almacenamiento de datos rigen cómo RGPD deben almacenarse los datos para sostenerlos seguros. Ciertas regulaciones son más específicas que otras, y generalmente cubren cosas como cuánto tiempo deben almacenarse los datos y la seguridad de su infraestructura de almacenamiento.

Las reglamentaciones de capacitación sobre privacidad de datos brindan orientación sobre a quién debe formar su empresa sobre privacidad de datos. Por lo general, esto es algo en lo que cada empleado precisa capacitación para cumplir con las regulaciones.

Las regulaciones de privacidad de datos más comunes

La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de de qué manera la información del paciente debe ser manejada por los consultorios médicos, centros de salud, compañías aseguradoras y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y distribuidores (por servirnos de un ejemplo, hospitales) resguarden la información del paciente y solo permiten que se divulgue en ciertas situaciones.

HIPAA da 4 reglas generales que las empresas deben cumplir, que son:

Asegurar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, sostienen o transmiten;

Identificar y resguardar contra amenazas razonablemente anticipadas a la seguridad o integridad de la información;

Proteger contra usos o bien divulgaciones razonablemente anticipados e inadmisibles; y

Garantizar el cumplimiento por parte de su fuerza laboral.

Para conseguir más información sobre quién debe cumplir con HIPAA y lo que se precisa para cumplir con HIPAA, consulte esta guía.

El Reglamento General de Protección de datos (GDPR) se decretó en 2018 para resguardar los derechos de los ciudadanos en la UE en lo relativo a la colección de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los siguientes criterios:

Una presencia en un país de la UE.

No tiene presencia en la Unión Europea, pero procesa datos personales de residentes europeos.

Más de 250 empleados.

Menos de doscientos cincuenta empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es eventual o incluye determinados tipos de datos personales reservados.

Esto significa que se aplica efectivamente a prácticamente todas las empresas. Otorga a los clientes el derecho de saber qué datos se recopilan y establece los requisitos sobre cómo y en qué momento las empresas deben informar las infracciones.

El RGPD es una de las normas de privacidad de datos más estrictas de cumplir. Sí deja un enfoque escalonado de las multas y sanciones en función de la relativa gravedad del delito, pero las empresas no deben contar con la clemencia; en dos mil diecinueve, British Airways fue multado con dólares americanos doscientos veintiocho millones y Marriott International fue multado con más de $ ciento veinticuatro millones por exponer millones de registros de datos personales.

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, puesto que no se trata de una regulación gubernamental y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que acepte, almacene o bien transmita datos de titulares de tarjetas está sujeta a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para proteger la información de sus clientes y garantizar que estén manejando y almacenando adecuadamente los datos de la tarjeta de crédito. Esto incluso se aplica a las empresas que utilizan proveedores externos para administrar los pagos con tarjeta de crédito. Todas y cada una de las empresas implicadas en el comercio on-line deben conocer bien estos requisitos y estar preparadas para asegurarse de que sus proveedores asimismo lo estén.

La Ley Sarbanes-Oxley de 2002 (SOX) se promulgó en respuesta al escándalo de Enron, y se precisa que las empresas que cotizan en bolsa cumplan con los requisitos. Está desarrollado para prevenir las clases de fraude que ocurrieron al establecer requisitos para retener y guardar registros comerciales y sanciones por destruir, trastocar o falsificar registros.

Esto implica no solo la contabilidad para garantizar que los registros sean precisos, sino también la función de TI para almacenar registros adecuadamente. SOX asimismo requiere un sistema para rastrear los cambios en los registros y almacenar los registros adecuados durante el período temporal adecuado.