10 Regulaciones de Protección de que necesita conocer

10 Regulaciones de Protección de que necesita conocer

Las preocupaciones sobre privacidad y protección de la información personal están en el foco de las organizaciones de todo el mundo. Nuevas leyes de privacidad de datos más comprehensivas han sido promulgadas o propuestas en los años pasados y se ha convertido en un imperativo para las empresas de todos los tamaños y de todas las industrias de priorizar la protección de los datos personales.

Hemos coleccionado 10 regulaciones de protección de datos de todo el globo sobre las cuales las empresas tienen que saber.

1. GDPR (UUEE)

La Regulación Europea de Protección de Datos (GDPR) entró en vigor en 25 de mayo
de 2018 y creó un efecto dominó de largo alcance que trajo la protección de datos en los ojos públicos y dentro de las agendas legislativas de todo el mundo. La GDPR marca el cambio más importante de la regulación de privacidad de datos de los últimos 20 años y proporciona un nivel de protección y empoderamiento individual que no tienen precedentes.

El nuevo marco europeo de la protección de datos pone nuevas obligaciones en las empresas y en las organizaciones para asegurar la privacidad y la protección de los datos personales, proporciona a los sujetos de datos ciertos derechos y asigna poder a los reguladores para pedir demostraciones de responsabilidad o hasta imponer multas en casos de incumplimiento.

Los conceptos claves de la GDPR incluyen proceso legal, justo y transparente, consentimiento claro y explicito, notificación de incumplimiento obligatoria, derecho de acceso, derecho a ser olvidado y principios cómo privacidad por diseño y por defecto. La regulación tiene aplicabilidad extraterritorial, lo que significa que se aplica para todas las organizaciones que colectan y procesan datos personales de los individuos residentes en la UUEE, sin importar la localización de la empresa.

2. PIPEDA (Canadá)

La ley federal de protección de datos de Canadá, la Personal Information Protection
and Electronic Documents Act
(PIPEDA) fue promulgada ya en el año 2000. PIPEDA se aplica para las organizaciones que operan en el sector privado y regula, entre otras, cómo los negocios colectan, usan y revelan la información personal y sensible. La ley se divide en 10 principios básicos que los negocios deben seguir.

Para armonizar los requerimientos canadienses con la GDPR europea, el Gobierno de Canadá emitió el Data Privacy Act, una rectificación a PIPEDA, qué entró en vigor en primero de noviembre de 2018. Este Acto añade nuevas reglas a PIPEDA e incluye requerimientos de consentimiento, notificaciones de fuga de datos y alcance revisado de la aplicación.

En 22 de mayo de 2019, el Gobierno de Canadá anunció una Carta Digital de 10 principios y publicó un Informe de Discusión reconsiderando propuestas para modernizar PIPEDA.

3. CCPA (California)

Efectivo el primero de enero de 2020, la California Consumer Privacy Act (CCPA) viene como una respuesta al mayor papel de los datos personales en las prácticas de negocios contemporáneos y las implicaciones de privacidad personal rodeando la colección, el uso y la protección de la información personal. Con esta nueva ley de privacidad de datos, firmada en ley en el 28 de junio de 2018, el Estado Dorado ofrece a los consumidores comprensión y control de su información personal coleccionada online y obliga a las empresas que conducen negocios en el estado de California a implementar cambios estructurales a sus programas de privacidad. Como la GDPR, se espera que el impacto de la CCPA sea global, dado el estado de California como la quinta economía mundial más grande.

Entre los componentes claves de la CCPA son una definición extendida de la información personal, creando nuevos derechos de la privacidad de datos para los residentes de California, estableciendo un nuevo marco legal de daños e introduciendo nuevas regulaciones cuando se usan datos personales de los niños. La nueva ley de privacidad de California comparte varias similitudes con su equivalente europea, la GDPR, incluyendo el derecho de los sujetos de datos de saber que datos se están coleccionando sobre ellos y cómo se están utilizando, cómo también el derecho de tener sus datos borrados; sin embargo, se puede rastrear entre ellas diferencias significantes también, particularmente con respecto al alcance de la aplicación y las reglas sobre responsabilidad.

4. APPI (Japón)

El Act on Protection of Personal Information (APPI) fue promulgado originalmente en 2003 y entró en vigor en 2005. Fue efectivamente enmendado diez años después, en 2015; las enmiendas tomaron efecto un año antes de la GDPR europea, en 30 de mayo de 2017.

El APPI protege los datos personales de los individuales en Japón, estableciendo reglas para los gobiernos y para ciertos operadores comerciales para proteger los derechos de un individuo con respecto a la adquisición y el manejo de la información personal de un individuo. Las entidades que operan en Japón tienen que cumplir con el APPI, aunque se producen o no transferencias de datos transfronterizas. El APPI es distinto a la GDPR en varios aspectos; la GDPR proporciona una mayor protección para los sujetos de datos y regulaciones más estrictas para las empresas que procesan datos personales que el APPI.

En el 23 de enero de 2019, Japón se convirtió en el primer país que obtuvo una decisión de idoneidad de la Comisión Europea (CE) después de la GDPR, lo que garantizará un flujo fluido de datos entre la UE y Japón, así como facilitará el aumento del volumen de transferencias de datos.

5. LGPD (Brazil)

En 14 de agosto de 2018, Brasil aprobó la General Data Protection Law (“Lei Geral de Proteção de Dados” o “LGPD”), programada para entrar en vigor en 15 de agosto de 2020. El nuevo marco de la protección de datos – altamente inspirado desde la GDPR – crea reglas para el procesamiento de los datos personales online y offline, in ambos sectores público y privado, sin importar dónde está localizado el procesador de datos. La legislación apunta a reemplazar y suplementar normas legales ya existentes; una de las razones de su desarrollo fue hacer que el tratamiento de datos de Brasil cumpla con los estándares europeos.

Las similitudes claves entre la LGPD y la GDPR incluyen los derechos de los sujetos de datos (ej.: el derecho para pedir el acceso a sus datos, cómo también el derecho para ser borrados), la necesidad para los oficiales de protección de datos, las evaluaciones del impacto de la protección de datos y las notificaciones de la fuga de datos. Sin embargo, existen varios puntos cómo las bases legales y las notificaciones de pérdidas de datos obligatorias en los cuales la LGPD va más allá que la legislación europea.

6. PDPA (Thailand)

Los datos personales de Singapur son protegidos por el Personal Data Protection Act (PDPA), que fue adoptado en 2012 y entró en vigor en 2014. El PDPA se aplica para todas las organizaciones del sector privado y establece un marco de protección de datos y comprende varias reglas gobernando la colección, el uso, la divulgación y el cuidado de los datos personales.

Reconoce a ambos: el derecho de los individuales para proteger sus datos personales y la necesidad de las empresas para coleccionar, usar o cuidar datos personales para fines legítimos y razonables.

Cómo la GDPR, el PDPA tiene alcance extraterritorial y se extiende a aquellos que pueden no tener presencia en Singapur.

7. PDPA (Tailandia)

La primera ley consolidada de Tailandia que rige la protección de datos en el país, el Personal Data Protection Act (PDPA) fue publicado en 27 de mayo de 2019. Las organizaciones que coleccionan y procesan datos personales tienen que asegurar que cumplen con el PDPA hasta el 27 de mayo de 2020.

El Gobierno de Tailandia ha dibujado en gran parte conceptos de la GDPR, con ciertas modificaciones que encajan a la perspectiva nacional. Esto se hizo a propósito, para demostrar que Tailandia tiene un nivel de protección de datos “adecuado” a la UE.

El PDPA perfila, entre otras cosas, una nueva definición de la información personal, categorías especiales de los datos sensibles, requisitos de consentimientos, incluido para menores, derechos para los sujetos de datos, aplicabilidad extraterritorial y restricción de las transferencias de datos personales a países de terceros.

8. PDPB (India)

El ‘Srikrishna Committee’ del gobierno nacional ha emitido su muy esperado proyecto de ley para una nueva Personal Data Protection Bill (PDPB) en 27 de julio de 2018. El marco dirigido propone regular el procesamiento de los datos personales de los individuos (principales de datos) por el gobierno y entidades privadas (fiduciarios de datos) incorporados en India y en el extranjero. También indica como coleccionar, procesar y estocar los datos personales.

El Bill es altamente influenciado por la GDPR y adoptó varios principios cómo el derecho de acceder y corregir, el derecho de la portabilidad o el derecho de ser olvidado; sin embargo, los derechos de los individuales son limitados en comparación con la ley de la UE. Si bien el proyecto de ley puede sufrir algunas enmiendas antes de ser presentado al Parlamento, que a su vez puede solicitar más cambios, servirá como base para la factura final.

9. NDB (Australia)

El Esquema del Notifiable Data Breach (NDB) entró en vigor en 22 de febrero de 2018 y es una parte del Privacy Act de Australia, que contiene 13 principios, con respecto a las obligaciones de las entidades para la gestión de los datos personales.

Bajo el Esquema de la NBD, las empresas que trabajan con datos personales, cómo información de cuenta bancaria o registros médicos, están obligadas a reportar las fugas de datos a la Oficina del Comisionado de Información de Australia (OAIC). Ellos tienen que informar también a las personas cuya información está expuesta.

Cómo la GDPR, el Esquema del NBD está destinado a permitir a los individuos afectados a tomar acciones necesarias para proteger su información personal, y esto impone penalidades considerables en las empresas por incumplimiento.

10. Data Security Administrative Measures (China)

En 28 de mayo de 2019, la Administración del Ciberespacio de China publicó el proyecto de su Data Security Administrative Measures (the “Measures”) al comentario público. De esta forma, China se ha juntado a la lista de países de todo el mundo para impulsar una legislación de protección de datos más estricta.

The Measures suplementan la Cybersecurity Law de China, qué entró en vigor en 1 de junio de 2017 y proporciona reglas estrictas y detalladas para los operadores de redes que coleccionan, estoquean, transmiten, procesan y usan datos dentro del territorio chino. Los operadores de redes que coleccionan datos importantes o información personal sensible con el propósito de operaciones comerciales se presentarán ante los departamentos administrativos del ciberespacio. En marzo de 2018, la Personal Information Security Specification fue emitida, lo que proporciona orientación detallada para el cumplimiento en el procesamiento de la información.

The Measures pretenden proporcionar especificaciones técnicas y mejores prácticas en el campo de la seguridad de datos con fuerza legal.

OBTENGA UNA DEMO
* No compartimos su información personal con nadie. Consulte nuestra Política de privacidad para más información.