En Salesforce, mantenemos nuestro compromiso de ayudar a nuestros a cumplir el RGPD mediante nuestras sólidas medidas de privacidad y seguridad. El Reglamento General de Protección de Datos (RGPD), aprobado el 25 de mayo de 2018, extiende los derechos de privacidad de los ciudadanos de la Unión Europea (UE) e introduce nuevas obligaciones para todas las organizaciones que comercialicen, sigan o gestionen datos personales en el ámbito de la UE.
¿Qué es el RGPD?
El RGPD es una exhaustiva ley sobre protección de datos en la UE que actualiza la legislación previa para reforzar la protección de los datos personales debido a los rápidos avances tecnológicos, la expansión de la globalización y el aumento del flujo internacional de datos personales. Sustituye al conjunto heterogéneo de leyes de protección de datos en vigor en cada país proporcionando un único conjunto de reglas de aplicación directa en todos los Estados miembros de la UE.
El RGPD regula el procesamiento (incluida la recopilación, almacenamiento, transferencia y uso) de datos personales de los ciudadanos de la UE. Cualquier organización que procese datos personales de ciudadanos de la UE, incluida la monitorización de su actividad en línea, está sometida a dicha ley, independientemente de que tenga o no presencia física en la Unión Europea. Conviene destacar que, conforme al RGPD, el concepto de "datos personales" es amplio y abarca cualquier información relacionada con un sujeto identificable (también denominado "titular de los datos").
Medidas de seguridad y requisitos de creación de informes
Las organizaciones deben usar medidas de seguridad técnicas y organizativas para proteger los datos personales frente a procesamientos no autorizados y su divulgación, acceso, pérdida, destrucción o alteración accidentales. En función del caso de uso específico y de los datos personales procesados, es aconsejable, y en algunos casos obligatorio, el uso de segregación, cifrado, seudonimización y anonimización de datos para ayudar a proteger los datos personales.
Es importante tener en cuenta que, según el RGPD, los responsables del tratamiento de los datos deben notificar cualquier vulneración de los datos a la autoridad de protección de datos correspondiente tan pronto como sea posible, en un plazo máximo de 72 horas desde que se tiene conocimiento de la vulneración, a menos que sea poco probable que dicha vulneración tenga consecuencias negativas para el titular de los datos. Si el riesgo es elevado, los responsables del tratamiento de los datos deben notificar la vulneración al titular de los datos tan pronto como les sea posible. Los encargados del tratamiento de los datos también deben notificar a los responsables del tratamiento de los datos sobre las vulneraciones a la mayor brevedad posible.
¿Qué medidas de seguridad debo aplicar conforme al RGPD?
Cifrado
Aunque no es obligatorio, la ley recomienda el cifrado como un medio eficaz para fomentar la seguridad y la confidencialidad de los datos personales.
Seudonimización
El RGPD anima a las organizaciones a usar la seudonimización como una medida basada en el riesgo para proteger la seguridad de los datos y los derechos de las personas.
Anonimización
Un nivel por encima de la seudonimización está la anonimización de los datos, el modo más seguro de proteger los datos personales. Para considerarse realmente anónimos, debe resultar imposible identificar a cualquier persona a partir de los datos mediante procesamiento adicional o combinación de los datos con otra información.
Responsabilidad
Conforme al RGPD, un responsable del tratamiento de datos es el encargado de implementar medidas para garantizar que los datos personales bajo su control se gestionen conforme a los principios del RGPD. Esto incluye el nombramiento de un delegado de protección de datos, la imposición de obligaciones contractuales a los encargados del procesamiento de los datos y usar los principios de "privacidad por diseño" y "privacidad por defecto". Asimismo, un responsable del tratamiento de datos debe poder demostrar la conformidad. Esto incluye el mantenimiento de un registro de actividades de procesamiento y la realización de evaluaciones de impacto en la privacidad.
Trailhead en la UE: obtenga información sobre el RGPD y cómo cumplir la normativa
Curse el módulo Aspectos legales básicos sobre privacidad en la UE para conocer los principios básicos del RGPD y cómo implementar un programa de cumplimiento del RGPD.
Trailhead en EE. UU.: obtenga información sobre las leyes de privacidad en EE. UU. y cómo cumplir la normativa
Curse el módulo Aspectos legales básicos sobre privacidad en EE. UU. para conocer la protección de la privacidad en EE. UU. en la legislación sanitaria, financiera y estatal.
Ley de Privacidad del Consumidor de California
La Ley de Privacidad del Consumidor de California (CCPA) es una exhaustiva ley sobre privacidad que entró en vigor el 1 de enero de 2020. Aunque consideramos que es necesario contar con una ley federal para que la privacidad de las personas no dependa de su código postal, celebramos la CCPA como un avance en la configuración de los requisitos de protección de datos en los Estados Unidos, así como una oportunidad para que Salesforce siga reforzando su compromiso con la privacidad y la protección de datos.