Glosario de GDPR: un desglose para personas ocupadas

Publicado: 2018-02-16

Un principio clave de GDPR: Presente sus políticas de datos a los usuarios sin "jerga legal".

ENTONCES, ¿POR QUÉ NOS DIERON 200 PÁGINAS DE LA JERGA QUE DERRITE EL CEREBRO PARA LEER?

Pasar por el nuevo Reglamento General de Protección de Datos es súper importante.

Pero es tan divertido como ver un torneo de golf reproducido en cámara lenta.

Así que aquí hay un desglose de lo que significan todos estos términos legales, escritos en oraciones que no te dormirás a la mitad.

Siéntete libre de CTRL+F para salir de un dolor de cabeza.

Definiciones

Normas corporativas vinculantes (BCR) : ¿Tiene datos personales en la UE? Quiere transferirlo a la gente de su organización multinacional. fuera de la UE? Las BCR son sus reglas a seguir.

Datos biométricos : “Datos del cuerpo”. Si puede identificarte y tiene que ver con rasgos físicos, fisiológicos o de comportamiento, es esto.

CONSENTIMIENTO : Este es uno grande. OBTENER CONSENTIMIENTO PARA UTILIZAR LOS DATOS PERSONALES DE ALGUIEN ES COMPLICADO AHORA.

Tiene que ser:

dado libremente
específico
afirmativo
explícito

Entonces... si vas a enviarle un correo electrónico a alguien, debes tener su consentimiento para recibir el correo electrónico. ¿Vas a usar una cookie? También necesita un consentimiento específico para eso.

Tienes que pedir el consentimiento de las personas de forma independiente. No puede agruparlo junto con la misma casilla de verificación que su política de privacidad.

Y no puede marcar previamente la casilla "Doy mi consentimiento para ____". Tienen que hacerlo ellos mismos.

No puede escribir su antiguo descargo de responsabilidad "Este sitio usa cookies, al estar aquí, está de acuerdo con eso" y esperar que funcione.

La gente ha entendido cómo estás usando sus datos. Tienen que darte el visto bueno para usarlo de esa manera.

Es mucho.

Escribimos más sobre esto aquí.

Datos sobre la salud : cómo suena (gracias a Dios).

Controlador de datos : si eres un comercializador, probablemente seas tú. Es la persona que solicita, recopila y utiliza datos personales, en cualquier forma. Si lo procesa, si lo almacena, si determina cómo se utilizarán los datos de las personas, usted es un controlador de datos. ¡Felicitaciones!

Borrado de datos: AKA: "Derecho al olvido". Esto solo significa que un sujeto de datos (persona humana) puede elegir que se borren los datos que tiene sobre ellos. Dicen la palabra, y tienes que borrar sus datos, dejar de usarlos y dejar de difundir (bruto), de cualquier manera.

Portabilidad de datos : si alguien se acerca a usted y le dice "OYE, quiero una copia de todos los datos que tiene sobre mí", debe decir "claro, aquí tiene". Y tienes que pasarles una copia de esos datos en un formato que puedan pasar fácilmente a otra persona. (Más información sobre eso vive aquí)

Procesador de datos : lo que usted (el controlador de datos) use para recopilar y procesar datos. Muchas de sus herramientas de marketing son procesadores de datos (piense, herramientas de análisis, herramientas de prueba A/B, complementos y similares).

Autoridad de protección de datos : la gente aterradora que se asegurará de que sigas las reglas. Estas son las autoridades nacionales que están a cargo de proteger los datos y la privacidad, y monitorear la aplicación de GDPR dentro de la UE.

Oficial de protección de datos : Alguien a quien debe designar para manejar toda esta locura regulatoria si es una empresa de más de 250 personas (pero para ser honesto, GDPR realmente no puede decidir cuál debería ser ese número). Este es un experto en privacidad de datos que trabajará con usted de forma independiente y lo mantendrá en línea con GDPR.

Sujeto de datos : Humano, que tiene datos, que usted tiene, ve o usa.

Leyes Delegadas : Divertidas “leyes de bonificación” que complementan las ya existentes, con el fin de aportar más claridad o criterio. Espere un montón de estos de naciones independientes de la UE en el futuro.

Derogación: ¡ Excepciones a las leyes!

Directiva : Esta es la ley que establece un “objetivo” para todos los países de la UE. Luego, cada país hace sus propias leyes nacionales para cumplir con ese objetivo.

Datos cifrados : más o menos: protege los datos personales confundiéndolos todos. El cifrado de datos garantiza que solo las personas con acceso específico puedan acceder o leer los datos que ha almacenado. En cuanto a las medidas de seguridad, es una muy buena idea.

Empresa : cualquier cosa que se dedique a una actividad económica, independientemente de su “forma jurídica”. Entonces, personas, organizaciones, asociaciones, lo que sea. Cualquiera que haga o juegue con dinero.

Sistema de archivo: GDPR se aplica en dos lugares: a los sistemas automatizados (almacenamiento de cosas en la computadora y en bases de datos) o, para copias impresas, en "sistemas de archivo relevantes". Un sistema de archivo es "relevante" si se puede buscar o acceder a él mediante criterios específicos, como nombre, número de identificación, número de teléfono, etc.)

Entonces, si volca todos sus datos de recursos humanos en casillas sin marcar y sin organizar, probablemente no tenga que preocuparse por el RGPD. Deberías preocuparte por ellos, ya sabes, cualquier otra razón.

Datos genéticos : El sitio oficial de la UE define esto pero, vamos. Ya sabes lo que es la genética.

Grupo de empresas : hay mucha jurisprudencia para analizar para comprender qué es una "empresa", pero más o menos se reduce a esto: una empresa es cuando una empresa tiene control sobre otra empresa. Y control, en este caso, significa la capacidad de ejercer una “influencia decisiva”.

Ejemplo: una matriz tiene una participación mayoritaria en una subsidiaria. Se supone que pueden ejercer el control. Eso es un compromiso.

Y un grupo de empresas es un grupo de aquellas.

Establecimiento principal : Esto más o menos tiene que ver con dónde se aplica la supervisión. Es el lugar dentro del sindicato donde se toman las decisiones relacionadas con el procesamiento de datos. Es decir, si procesa sus datos en Alemania, incluso si tiene su sede en otro lugar, su "establecimiento principal" está en Alemania.

DATOS PERSONALES : OTRO GRANDE. Los datos personales son cualquier información que se relaciona con una persona y puede usarse para identificarla. Esto incluye datos que pueden identificarlos indirectamente o identificarlos cuando se combinan con otros datos entrantes.

Esto es diferente a la PII (información de identificación personal) . Y es una definición más estricta de lo que hemos visto antes.

Aquí hay un desglose completo:

Datos de identificación personal (PII)

Información personal

Nombre completo (si no es común)
Direccion de casa
Dirección de correo electrónico
Número de Identificación Nacional
Número de pasaporte
Número de matrícula del vehículo
Número de carnet de conducir
Rostro, huellas dactilares o escritura a mano.
números de tarjetas de crédito
identidad digital
Fecha de nacimiento
Lugar de nacimiento
Información genética
Número de teléfono
Nombre de inicio de sesión, nombre de pantalla, apodo o identificador

Nombre completo (si no es común)
Direccion de casa
Dirección de correo electrónico
Número de Identificación Nacional
Número de pasaporte
Número de matrícula del vehículo
Número de carnet de conducir
Rostro, huellas dactilares o escritura a mano.
números de tarjetas de crédito
identidad digital
Fecha de nacimiento
Lugar de nacimiento
Información genética
Número de teléfono
Nombre de inicio de sesión, nombre de pantalla, apodo o identificador

Dirección IP
Identificadores únicos como ID de dispositivo, ID de usuario, ID de transacción, ID de cookie
Datos seudónimos (esos son datos irreconocibles + clave en un lugar diferente para que se puedan leer de nuevo)

Violación de datos personales : un gran "ups". Esto es en cualquier momento en que alguien pueda accidental o ilegalmente acceder, destruir o hacer un uso indebido de los datos personales que ha almacenado. Según el RGPD, debe informar a todos los interesados sobre uno de estos en un plazo de 72 horas.

Privacidad por diseño : deja de procrastinar. Cuando crea un sistema que trata con datos (una interfaz, un sitio web, cualquier cosa), debe pensar en la protección de datos ANTES de comenzar. Debe diseñarse teniendo en cuenta los derechos de datos. No deben ser una edición de última hora.

Evaluación del impacto en la privacidad : ¡algo que usted (junto con su oficial de protección de datos) debe hacer! Básicamente, esto es solo una auditoría de posibles riesgos de privacidad. Significa echar un vistazo a sus datos personales, cómo se procesan y qué está haciendo en este momento para protegerlos.

Procesamiento : CUALQUIER COSA que haga con los datos personales, de forma manual o automática. Recolectándolo, registrándolo, usándolo. Los datos personales aparecen en su pantalla y se procesan.

Creación de perfiles : si automatiza datos personales y los analiza para predecir el comportamiento de alguien (específico), eso cuenta como creación de perfiles.

Seudonimización – Tienes datos personales. Lo procesa de una manera en la que ya no puede atribuirlo a un sujeto de datos, al menos, no sin otra información separada. El ejemplo clásico es la sustitución de datos identificables con un valor reversible y consistente, como una cadena de números aleatorios, que luego se puede "desbloquear" y reatribuir.

Esto es diferente a los datos realmente anonimizados: en los que la información identificable se destruye por completo.

Todavía no se ha determinado qué técnicas "cuentan" como seudonimización bajo GDPR, y hay muchas áreas grises en cuanto a qué tipo de datos cuentan como "probables de ser identificados" o "razonablemente probables" de ser identificados.

Pero existen algunos incentivos sofisticados de GDPR para seudonimizar sus datos personales. Puede encontrarlos en el Considerando 29.

Por ejemplo, cuando recopila sus datos personales estándar y regulares, solo puede usarlos por razones explícitamente "aceptadas" por el interesado. Pero con la seudonimización, tiene un poco más de libertad sobre cómo puede procesar los datos, incluso si es para un propósito diferente al que se recopiló originalmente.

Destinatario : una persona a la que se revelan los datos personales.

Reglamento – Ley, que es vinculante y se aplica en toda la UE.

Representante : si las personas que supervisan el cumplimiento de GDPR necesitan llamar a los controladores de datos (es decir, su empresa) para abordar las inquietudes, se dirigen a sus representantes. Los representantes deben estar en la Unión y ser designados explícitamente para la tarea.

Derecho al olvido : consulte Borrado de datos, más arriba.

Derecho de acceso / Derecho de acceso del sujeto : si tiene datos personales de alguien, puede solicitar acceso a ellos. Tienes que ser capaz de dárselo.

Autoridad de supervisión : cada estado miembro de la UE designará una autoridad pública para supervisar el cumplimiento de GDPR. Esa es una autoridad supervisora (pero también puede conocer esto como un DPA o una Autoridad de Protección de Datos).

Triálogos : después de que todos hayan leído el primer borrador de la legislación propuesta, la Comisión Europea, el Parlamento Europeo y el Consejo de la UE se reúnen informalmente para negociar. Esas reuniones se denominan diálogos tripartitos y se llevan a cabo para que se pueda adoptar rápidamente un texto de compromiso.

Acrónimos:

BCR : Reglas corporativas vinculantes (ver arriba)

CFR : La Carta de los Derechos Fundamentales de la Unión Europea

TJUE : Tribunal de Justicia de la Unión Europea.

DPA : Autoridad de Protección de Datos (Ver Autoridad de Control)

DPO : Delegado de Protección de Datos

CEDH : Convenio Europeo de Derechos Humanos.

EDPB : Junta Europea de Protección de Datos

DEPS : Supervisor Europeo de Protección de Datos

EEE : Espacio Económico Europeo (los 28 estados miembros de la UE, además de Islandia, Liechtenstein y Noruega)

TFUE : Tratado de Funcionamiento de la Unión Europea.

WP29 : Grupo de Trabajo Artículo 29. Era un consejo asesor a nivel de la UE, compuesto por DPA nacionales. Pero el EDPB lo ha reemplazado más o menos bajo GDPR.