El Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR) reemplaza la Directiva de protección de datos y fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y empoderar la privacidad de datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de toda la región abordan la privacidad de datos. Entró en vigencia el 25 de mayo de 2018.
¿A quiénes se aplica el GDPR?
El GDPR se aplica no solo a las organizaciones que procesan datos en la UE, sino también a cualquier organización que ofrezca bienes o servicios, o controle el comportamiento de las personas dentro de la UE. El GDPR se aplica incluso si el procesamiento se lleva a cabo fuera de la UE.
¿Qué elementos de datos se incluyen en el GDPR?
El GDPR se aplica a la información que directa o indirectamente podría identificar a un individuo. Esto incluye nombres, direcciones, números de teléfono, fechas de nacimiento, así como direcciones IP, identificadores de cookies, información del dispositivo, identificadores de publicidad, información financiera, información de ubicación geográfica, información de redes sociales, preferencias del consumidor, etc.
¿A quiénes protege el GDPR?
Los sujetos de datos de la UE son personas que residen físicamente en la UE, independientemente de su nacionalidad o lugar de residencia permanente. Esto incluye miembros de la comunidad de la University of Miami (UM) que pueden residir (permanente o temporalmente) en la UE y residentes de la UE que asisten o trabajan para la UM.
¿Qué son los datos personales?
Cualquier información relacionada con una persona física o “sujeto de datos” que pueda usarse para identificar directa o indirectamente a la persona.
¿Qué derechos otorga el GDPR?
El GDPR otorga a los sujetos de datos de la UE importantes derechos nuevos sobre cómo los controladores y procesadores de datos recopilan, procesan y transfieren sus datos personales. Según el GDPR, los sujetos de datos de la UE tienen derecho, entre otras cosas, a lo siguiente:
- Acceder a cualquier dato que una organización haya recopilado sobre el individuo.
- Saber por qué una organización está procesando los datos personales del individuo y las categorías de datos personales que procesa una organización.
- Corregir cualquier error en los datos personales recopilados o procesados por una organización.
- Saber durante cuánto tiempo una organización almacenará los datos personales del individuo.
- Y, en determinadas circunstancias, solicitar a la organización que elimine de forma permanente los datos personales de la persona (este derecho algunas veces se denomina derecho al olvido o derecho a la eliminación).
- Desde una perspectiva organizacional, el GDPR requiere que se implementen importantes medidas de protección de datos e impone una serie de obligaciones. Los requisitos más destacados incluyen que la organización:
- Tenga un fundamento legal para recopilar y procesar los datos personales de los sujetos de datos de la UE, documente ese fundamento legal y solo recopile y utilice datos cuando exista una base legal.
- Minimice la recopilación y el procesamiento de datos personales siempre que sea posible.
- Proteja cualquier dato personal que recopile y utilice.
- Lleve a cabo una evaluación para determinar los riesgos y los impactos en la privacidad relacionados con la recopilación y el procesamiento de datos personales de los sujetos de datos, implemente un plan para mitigar esos riesgos e impactos y monitoree continuamente tanto los riesgos como el plan de mitigación para el cambio.
- Lleve a cabo una evaluación de impacto de la protección de datos para categorías especiales de recopilación y procesamiento de datos de alto riesgo.
- Y tenga una política de notificación de filtraciones y notifique a las autoridades dentro de las 72 horas posteriores al conocimiento de la filtración.
¿Cómo afectará el GDPR a la UM?
Los sujetos de datos de la UE son personas que residen físicamente en la UE, independientemente de su nacionalidad o lugar de residencia permanente. Esto incluye miembros de la comunidad de la University of Miami que pueden residir (permanente o temporalmente) en la UE y residentes de la UE que asisten o trabajan para la UM.
Dado que la UM maneja datos relacionados con estas personas, la Universidad deberá mostrar su proyecto hacia el cumplimiento antes del 25 de mayo de 2018. El GDPR impone sanciones a las organizaciones que no cumplen.
El GDPR afectará todos los aspectos de las operaciones de UM, incluidos los métodos utilizados para recopilar, almacenar y procesar datos, incluida la recopilación activa y pasiva en sitios web; cómo UM comparte datos con terceros; acuerdos contractuales; investigaciones; reclutamiento; relaciones con ex alumnos; estudios en el extranjero; y aprendizaje en línea. Además, se examinarán los procesos y sistemas comerciales.
UM debe tener un fundamento legal documentado para recopilar y procesar los datos personales de los sujetos de datos de la UE. Hay dos categorías básicas de fundamento legal: (1) consentimiento del sujeto de datos, y (2) uno de los motivos comerciales especificados para el procesamiento de datos.
La UM debe poder señalar específicamente el consentimiento o uno de los fines comerciales establecidos como motivo para el procesamiento de datos. Los requisitos de consentimiento del GDPR son muy específicos y limitan el uso de datos personales para usos distintos a los específicamente establecidos en el documento de consentimiento.
¿Cómo puede ayudar usted?
Si trabaja con datos de UM, que cree que son datos de la UE que su unidad puede estar almacenando, transfiriendo, manteniendo o comercializando, le solicitamos que se comunique con la Oficina de Servicios de Cumplimiento Universitario.
Solicitud de acceso del interesado (DSAR)
El RGPD y la Ley de Protección de Datos del Reino Unido de 2018 confieren varios derechos a las personas sobre las cuales la Universidad conserva y procesa datos personales, que incluyen el acceso y la eliminación. La Universidad debe administrar las solicitudes de individuos relacionadas con estos derechos.
Cualquier DSAR debe enviarse por correo electrónico a: ucs@Miami.edu.
Recursos
- Protección de datos personales en la UE – Hoja informativa
- Reglamento General de Protección de Datos
- Protección de datos de la Comisión Europea
- GDPR (función de búsqueda)
Información adicional
Office of University Compliance Services
Interim Data Protection Officer
Nelson E. Perez, JD, CCEP
Director Ejecutivo
1320 South Dixie Highway
Gables One Tower, Suite 700
Coral Gables, FL 33146
Teléfono: 305-284-2924
Fax: 305-284-4804
Correo electrónico: nelsonperez@miami.edu