Las mejores claves para saber qué RGPD elegir

Tipos de regulación de privacidad de datos

Las reglamentaciones de colección de datos brindan orientación sobre de qué forma y cuándo las empresas pueden recopilar datos sobre los usuarios y, en algunos casos, si las personas deben ser notificadas de que sus datos se compendian.

Las regulaciones de violación de datos le afirman a las empresas qué deben hacer en caso de una violación de datos, como notificar a las agencias y los clientes, rastrear información sobre la violación y tomar medidas para asegurar que no ocurra una violación similar en el futuro.

Las regulaciones de acceso a datos proporcionan pautas para 1) cómo se debe manejar el acceso interno a la información, y dos) los niveles de acceso a los que tienen derecho los consumidores.

Las regulaciones de almacenaje de datos rigen de qué manera deben almacenarse los datos para mantenerlos seguros. Ciertas regulaciones son más específicas que otras, y en general cubren cosas como cuánto tiempo deben almacenarse los datos y la seguridad de su infraestructura de almacenaje.

Las reglamentaciones de formación sobre privacidad de datos brindan orientación sobre a quién debe formar su empresa sobre privacidad de datos. Por lo general, esto es algo en lo que cada empleado precisa capacitación para cumplir con las regulaciones.

Las regulaciones de privacidad de datos más habituales

La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de cómo la información del paciente ha de ser manejada por los consultorios médicos, centros de salud, compañías de seguros y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y distribuidores (por ejemplo, hospitales) resguarden la información del paciente y solo dejan que se difunda en ciertas situaciones.

HIPAA proporciona 4 reglas generales que las empresas deben cumplir, que son:

Asegurar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, sostienen o transmiten;

Identificar y proteger contra amenazas razonablemente adelantadas a la seguridad o bien integridad de la información;

Proteger contra usos o divulgaciones razonablemente anticipados e inadmisibles; y

Asegurar el cumplimiento por parte de su fuerza laboral.

Para conseguir más información sobre quién debe cumplir con HIPAA y lo que se necesita para cumplir con HIPAA, consulte esta guía.

El Reglamento General de Protección de datos (GDPR) se decretó en 2018 para proteger los Empresa RGPD derechos de los ciudadanos en la UE en lo que respecta a la recopilación de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los siguientes criterios:

Una presencia en un país de la UE.

No tiene presencia en la UE, mas procesa datos personales de residentes europeos.

Más de 250 empleados.

Menos de doscientos cincuenta empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional o incluye algunos tipos de datos personales reservados.

Esto quiere decir que se aplica ciertamente a prácticamente todas las empresas. Da a los clientes del servicio el derecho de saber qué datos se recopilan y establece los requisitos sobre de qué manera y cuándo las empresas deben informar las infracciones.

El RGPD es una de las reglas de privacidad de datos más estrictas de cumplir. Sí deja un enfoque escalonado de las multas y sanciones dependiendo de la relativa gravedad del delito, mas las empresas no deben contar con la clemencia; en 2019, British Airways fue multado con dólares americanos 228 millones y Marriott International fue multado con más de dólares americanos ciento veinticuatro millones por exponer millones de registros de datos personales.

Las Reglas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, en tanto que no se trata de una regulación gubernamental y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Reglas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que acepte, almacene o transmita datos de titulares de tarjetas está sosten a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para resguardar la información de sus clientes y garantizar que estén manejando y guardando apropiadamente los datos de la tarjeta de crédito. Esto aun se aplica a las empresas que emplean distribuidores externos para administrar los pagos con tarjeta de crédito. Todas y cada una de las empresas involucradas en el comercio electrónico deben conocer bien estos requisitos y estar preparadas para cerciorarse de que sus proveedores asimismo lo estén.

La Ley Sarbanes-Oxley de dos mil dos (SOX) se promulgó como contestación al escándalo de Enron, y se precisa que las empresas que cotizan en bolsa cumplan con los requisitos. Está desarrollado para prevenir los tipos de fraude que ocurrieron al establecer requisitos para retener y guardar registros comerciales y sanciones por destruir, alterar o bien falsificar registros.

Esto implica no solamente la contabilidad para asegurar que los registros sean precisos, sino asimismo la función de TI para guardar registros adecuadamente. SOX también requiere un sistema para rastrear los cambios en los registros y almacenar los registros correctos durante el período temporal adecuado.