¿Qué es el GDPR?
GDPR es el Reglamento general de protección de datos (General Data Protection Regulation), un reglamento de la Unión Europea para proteger el Artículo 8 de la Carta de los Derechos Fundamentales de la UE - "Protección de datos personales’.
¿A quién se aplica el GDPR?
El GDPR se aplica a todas las entidades que procesan datos personales sobre ciudadanos europeos, ya sea que se encuentren en Europa o fuera de Europa.
¿Qué se entiende por datos personales?
Los datos personales se pueden utilizar para identificar a una persona física, como nombre, números de identificación, datos de ubicación, identificadores en línea, identidad física, fisiológica, genética, económica, cultural o social.
¿Qué se entiende por procesamiento?
Cualquier operación o conjunto de operaciones realizadas sobre los datos personales tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
¿Qué dice el GDPR sobre la clasificación de datos?
GDPR no menciona explícitamente la clasificación de datos. No es un requisito clasificar sus datos de acuerdo con GDPR. Sin embargo, existen varios puntos que siguen siendo relevantes.
Art 30: Registros de actividades de procesamiento: El controlador y el procesador de datos deben tener un protocolo para las actividades de procesamiento. Es decir, una descripción general de todos los lugares donde tienen información personal. Si alguien está almacenando hojas de Excel llenas de datos personales para fines de análisis, el controlador de datos debe estar al tanto.
Art. 32: Seguridad del procesamiento: El controlador y el procesador deben implementar las medidas técnicas y organizativas adecuadas para proteger los datos. Entre esos requisitos, la capacidad continua de garantizar la confidencialidad, integridad y disponibilidad de los datos. Es aquí donde interviene la clasificación de datos. Si no conoce el nivel de confidencialidad de los documentos, ¿cómo puede asegurarse de protegerlos en consecuencia?
Art.15: Derecho de acceso: El interesado tiene derecho a saber si el responsable del tratamiento está procesando información personal, qué tipo de información personal y su finalidad. Esto significa que el controlador de datos debe tener una descripción general del tipo de datos personales procesados. Con datos no estructurados, esto no puede ser fácil. Por lo tanto, una clasificación de datos de los documentos puede ayudar a devolver la visión general y el control al controlador de datos.
Art 16: Derecho de rectificación: El interesado tiene derecho a que los datos personales sean rectificados si no son correctos. Esto incluye formatos no estructurados para garantizar la integridad de la información.
Art. 17: Derecho al borrado: El interesado tiene derecho al olvido y a que se borren los datos personales no tratados legalmente. Esto incluye todos los formatos no estructurados.
Art. 18: Derecho a la restricción del procesamiento: El interesado tiene derecho a restringir el procesamiento de datos, por ejemplo, retirando el consentimiento otorgado previamente.
Resumen: aunque la clasificación de datos no es un requisito en GDPR, tener una clasificación de datos ayuda a lograr otras condiciones, como controlar los datos y protegerlos de acuerdo con su clasificación de datos.