Reglamento General de Protección de Datos (GDPR)

El Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR) reemplaza la Directiva de protección de datos y fue diseñado para armonizar las leyes de privacidad de datos en toda Europa, para proteger y empoderar la privacidad de datos de todos los ciudadanos de la UE y para remodelar la forma en que las organizaciones de toda la región abordan la privacidad de datos. Entró en vigencia el 25 de mayo de 2018.

¿A quiénes se aplica el GDPR?

El GDPR se aplica no solo a las organizaciones que procesan datos en la UE, sino también a cualquier organización que ofrezca bienes o servicios, o controle el comportamiento de las personas dentro de la UE. El GDPR se aplica incluso si el procesamiento se lleva a cabo fuera de la UE.

¿Qué elementos de datos se incluyen en el GDPR?

El GDPR se aplica a la información que directa o indirectamente podría identificar a un individuo. Esto incluye nombres, direcciones, números de teléfono, fechas de nacimiento, así como direcciones IP, identificadores de cookies, información del dispositivo, identificadores de publicidad, información financiera, información de ubicación geográfica, información de redes sociales, preferencias del consumidor, etc.

¿A quiénes protege el GDPR?

¿Qué son los datos personales?

Cualquier información relacionada con una persona física o “sujeto de datos” que pueda usarse para identificar directa o indirectamente a la persona.

¿Qué derechos otorga el GDPR?

El GDPR otorga a los sujetos de datos de la UE importantes derechos nuevos sobre cómo los controladores y procesadores de datos recopilan, procesan y transfieren sus datos personales. Según el GDPR, los sujetos de datos de la UE tienen derecho, entre otras cosas, a lo siguiente:

Acceder a cualquier dato que una organización haya recopilado sobre el individuo.
Saber por qué una organización está procesando los datos personales del individuo y las categorías de datos personales que procesa una organización.
Corregir cualquier error en los datos personales recopilados o procesados por una organización.
Saber durante cuánto tiempo una organización almacenará los datos personales del individuo.
Y, en determinadas circunstancias, solicitar a la organización que elimine de forma permanente los datos personales de la persona (este derecho algunas veces se denomina derecho al olvido o derecho a la eliminación).
Desde una perspectiva organizacional, el GDPR requiere que se implementen importantes medidas de protección de datos e impone una serie de obligaciones. Los requisitos más destacados incluyen que la organización:
Tenga un fundamento legal para recopilar y procesar los datos personales de los sujetos de datos de la UE, documente ese fundamento legal y solo recopile y utilice datos cuando exista una base legal.
Minimice la recopilación y el procesamiento de datos personales siempre que sea posible.
Proteja cualquier dato personal que recopile y utilice.
Lleve a cabo una evaluación para determinar los riesgos y los impactos en la privacidad relacionados con la recopilación y el procesamiento de datos personales de los sujetos de datos, implemente un plan para mitigar esos riesgos e impactos y monitoree continuamente tanto los riesgos como el plan de mitigación para el cambio.
Lleve a cabo una evaluación de impacto de la protección de datos para categorías especiales de recopilación y procesamiento de datos de alto riesgo.
Y tenga una política de notificación de filtraciones y notifique a las autoridades dentro de las 72 horas posteriores al conocimiento de la filtración.

¿Cómo afectará el GDPR a la UM?

Los sujetos de datos de la UE son personas que residen físicamente en la UE, independientemente de su nacionalidad o lugar de residencia permanente. Esto incluye miembros de la comunidad de la University of Miami que pueden residir (permanente o temporalmente) en la UE y residentes de la UE que asisten o trabajan para la UM.

Dado que la UM maneja datos relacionados con estas personas, la Universidad deberá mostrar su proyecto hacia el cumplimiento antes del 25 de mayo de 2018. El GDPR impone sanciones a las organizaciones que no cumplen.

El GDPR afectará todos los aspectos de las operaciones de UM, incluidos los métodos utilizados para recopilar, almacenar y procesar datos, incluida la recopilación activa y pasiva en sitios web; cómo UM comparte datos con terceros; acuerdos contractuales; investigaciones; reclutamiento; relaciones con ex alumnos; estudios en el extranjero; y aprendizaje en línea. Además, se examinarán los procesos y sistemas comerciales.

UM debe tener un fundamento legal documentado para recopilar y procesar los datos personales de los sujetos de datos de la UE. Hay dos categorías básicas de fundamento legal: (1) consentimiento del sujeto de datos, y (2) uno de los motivos comerciales especificados para el procesamiento de datos.

La UM debe poder señalar específicamente el consentimiento o uno de los fines comerciales establecidos como motivo para el procesamiento de datos. Los requisitos de consentimiento del GDPR son muy específicos y limitan el uso de datos personales para usos distintos a los específicamente establecidos en el documento de consentimiento.

¿Qué está haciendo la UM?

En respuesta a la nueva regulación, UM formó un grupo de trabajo de GDPR, que consta de un comité completo y un comité central, para abordar los requisitos del Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE).

El grupo de trabajo se estableció para crear un plan de proyecto para abordar el GDPR, que incluye la identificación de datos utilizados por las oficinas y facultades de UM y la creación de estándares sobre cómo manejar y proteger esos datos.

El grupo de trabajo de GDPR de UM tomará las siguientes medidas para abordar no solo el GDPR, sino también para formalizar un programa de privacidad sólido en toda la Universidad:

Desarrollo: Desarrollar un plan integral de comunicaciones y formalizar el equipo del proyecto.
Evaluación: Evaluar a los departamentos para identificar y examinar los datos que necesitan protección, abordando primero las funciones comerciales críticas.
Implementación: Aplicar un enfoque priorizado para abordar los controles críticos; desarrollar procesos, políticas y procedimientos; y crear capacitaciones.
Gestión: Gestionar y dominar procesos de datos e información relacionada a través de controles establecidos.
Demostración: Establecer la sostenibilidad en la forma en que se gestiona, supervisa y evalúa el riesgo de privacidad a través de capacidades de autoevaluación; mantener la evidencia requerida.

¿Cómo puede ayudar usted?

La Universidad ha tomado medidas para identificar y mapear datos de la UE en toda la Universidad y solicitará la participación de muchos de nuestros departamentos y unidades en toda la Universidad para abordar estos requisitos.

Para que el cumplimiento de GDPR sea exitoso, necesitaremos su apoyo. Si trabaja con datos de la UM, busque comunicaciones del equipo del proyecto de GDPR. Nos reuniremos con departamentos y unidades de UM para identificar datos de la UE y hablar sobre los próximos pasos.

Encuesta de cumplimiento

El grupo de trabajo de GDPR está en proceso de realizar una encuesta y está distribuyendo un cuestionario diseñado para evaluar las formas en que las unidades actualmente manejan los datos personales de la UE a destinatarios identificados en distintos departamentos y unidades.

Si su unidad aún no ha completado y enviado el cuestionario, y cree que su unidad puede almacenar, transferir, mantener o comercializar datos de la UE, le pedimos que complete y envíe la encuesta GDPR-UE.

Recursos

Información adicional

Office of University Compliance Services

Interim Data Protection Officer

Nelson E. Perez, JD, CCEP
Director Ejecutivo
1320 South Dixie Highway
Gables One Tower, Suite 700
Coral Gables, FL 33146
Teléfono: 305-284-2924
Fax: 305-284-4804
Correo electrónico: nelsonperez@miami.edu