Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Ley de Protección de Datos de 2018

Inicio Glosario Ley de Protección de Datos de 2018

¿Qué es la Ley de Protección de Datos? La Ley de Protección de Datos de 2018 es la ley de privacidad de datos que se aplica en el Reino Unido.

Se han aprobado regulaciones de privacidad de datos por muchos cuerpos legislativos en todo el mundo. La Ley de Protección de Datos de 2018 es el equivalente de estas para el Reino Unido. Se aplica a todas las empresas u organizaciones que recolectan información personal no pública (NPI) de residentes del Reino Unido.

LDP (Ley de Protección de Datos)

Qué Dio Origen a la Ley de Protección de Datos

Antes de 2018, la ley que regía la protección de datos en el Reino Unido era la Ley de Protección de Datos de 1998. En los años que siguieron, hubo muchos avances tecnológicos en el espacio digital que impactaron fuertemente en cómo las organizaciones recolectaban y procesaban datos personales. Esto llevó a brechas de alto perfil y otras no tan serias de información personal identificable (PII), lo que puso en riesgo a empresas y consumidores.

Países en Europa, como el Reino Unido y Francia, comenzaron conversaciones sobre la actualización de sus regímenes de privacidad de datos mediante la aprobación de regulaciones de cumplimiento de protección de datos individuales. Mientras tanto, la Unión Europea aprobó el Reglamento General de Protección de Datos (GDPR). Avanzando hasta 2018, el Reino Unido votó para salir de la UE a través del famoso Proceso de Brexit. Pero el Reino Unido necesitaba una ley para asegurar que los protocolos del GDPR continuaran extendiéndose a los residentes del Reino Unido.

El resultado fue la aprobación de la Ley de Protección de Datos en 2018.  Además del GDPR, la Ley de Protección de Datos es similar en alcance a la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) en Canadá y la Ley de Privacidad del Consumidor de California (CCPA).

Datos Personales Según lo Definido en la Ley

La Ley de Protección de Datos define datos personales como cualquier información que pueda ser utilizada para identificar a una persona viva, ya sea completamente o en parte.

Datos de Categoría Especial

La Ley define los datos de categoría especial como datos personales que son sensibles, lo que requiere un nivel aún más alto de privacidad y protección. Esto incluye datos como:

  • Biométricos
  • Raza
  • Orientación sexual
  • Creencias religiosas
  • Creencias políticas
  • Condiciones de salud física y mental
  • Vida sexual y orientación sexual

Datos Confidenciales

Los datos confidenciales son cualquier dato compartido entre dos partes en confianza. Puede ser de naturaleza personal o no. Sin embargo, siempre que no esté en el dominio público, está protegido por la Ley de Protección de Datos.

Diferencias Entre la Ley de Protección de Datos y el GDPR

La Ley de Protección de Datos extiende las mismas protecciones bajo el GDPR a los residentes de la UE. En gran medida hereda todos los principios del GDPR con solo unas pocas diferencias, principalmente para aclarar cuestiones específicas del país. Una diferencia clave es que la Ley de Protección de Datos proporciona multas ilimitadas para empresas e individuos que acceden a datos anonimizados e intentan identificarlos.

Otra diferencia es que la Ley de Protección de Datos va más allá y proporciona ciertas excepciones cuando los datos personales pueden ser procesados sin el consentimiento del usuario. Estas son principalmente en asuntos relacionados con la seguridad nacional, inmigración y servicios de inteligencia.

Otra diferencia notable es la edad de consentimiento válido para el procesamiento de datos personales. En el GDPR de la UE, la edad es 16 mientras que es 13 en la Ley de Protección de Datos.

Cómo Cumplir con la Ley de Protección de Datos

Quizás la pregunta más crítica para las empresas que recolectan datos de residentes del Reino Unido es cómo cumplir con todas las disposiciones de la Ley de Protección de Datos.

Al igual que con otras leyes de privacidad en todo el mundo, el cumplimiento no es fácil, especialmente cuando las prácticas de administración de riesgos de ciberseguridad de una organización no son sólidas. A continuación se presentan algunos de los requisitos principales de la Ley de Protección de Datos:

Publicar una Política de Privacidad

Para asegurar el cumplimiento normativo, es obligatorio una política de privacidad que se comparta públicamente con los usuarios de una empresa. Debe estar en un lenguaje claro al describir las actividades de recolección y procesamiento de datos.

Declarar la Base Legal para Procesar PII

Según la Ley de Protección de Datos, hay varias bases legales para procesar datos PII. Estas son las mismas que en el GDPR:

  • Consentimiento del consumidor (razón más común por la que las empresas procesan datos personales)
  • Cumplimiento de un contrato
  • Obligación legal
  • Interés público
  • Interés legítimo
  • Interés vital

La razón comercial para recolectar y procesar PII debe caer dentro de una de estas bases para cumplir con la ley.

Consentimiento para Recolectar y Procesar

Después de establecer una base legal, el siguiente paso es buscar el consentimiento del usuario para recolectar y procesar sus datos. Para que el consentimiento sea legal en el Reino Unido, debe ser:

  • Dado libremente
  • Explícito
  • Sin ambigüedades
  • Informado
  • Registrado

Para abordar lo anterior, las organizaciones deben divulgar los derechos que discutimos anteriormente a los usuarios y respetarlos.

Nombrar un Responsable de Protección de Datos

La Ley de Protección de Datos requiere que nombres un Responsable de Protección de Datos si eres un organismo público o tu negocio requiere la recolección y procesamiento sistémico a gran escala de datos personales.

El nombre y los datos de contacto del Responsable de Protección de Datos deben mostrarse de manera prominente en tu política de privacidad.

Establecer Protocolos de Brecha de Datos

Si ocurre una brecha de datos que filtra PII perteneciente a residentes del Reino Unido, la Ley de Protección de Datos requiere que las organizaciones informen a la Oficina del Comisionado de Información en el Reino Unido dentro de las 72 horas. También se debe notificar a los individuos afectados sobre la brecha y los pasos tomados para proteger sus datos.

Instituir la Recolección y Retención de Datos

Para asegurar el cumplimiento con la Ley de Protección de Datos, es imperativo que las organizaciones limiten la recolección y retención de datos solo por las razones más necesarias. Mantener datos personales no utilizados o procesarlos más allá de lo que se consintió inicialmente es una violación de la ley, lo que podría resultar en una multa.

Crear Privacidad desde el Diseño

La privacidad desde el diseño es un componente significativo de todas las leyes de privacidad. Esta es una política de ciberseguridad, lo que significa que todos los procesos, sistemas, infraestructura y personas que manejan PII deben tener una mentalidad de privacidad primero.

Siete Principios de la Ley de Protección de Datos

Para las organizaciones que manejan PII para residentes en el Reino Unido, entender los siete principios de la Ley de Protección de Datos es clave para cumplir con esta ley. Estos principios deben ser los valores guía y la base de una organización al recolectar y procesar todos los datos personales.

Al revisar estos principios, los lectores encontrarán que abarcan múltiples leyes de protección de datos y jurisdicciones. En gran medida, estos principios se aplican al GDPR, PIPEDA, CCPA, Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), Ley de Mejora de Cobro de Deudas (DCIA), y la Ley de Protección de Información Personal de Japón (APPI).

Legalidad, Equidad y Transparencia

Este principio dicta que el uso de datos personales debe ser legal y justo en su uso, y los usuarios deben entender a qué se están suscribiendo. La Ley de Protección de Datos requiere que las organizaciones usen un lenguaje claro, sencillo y preciso en sus políticas de manejo de datos.

Limitación de Propósito

Este principio establece que la PII debe usarse solo para el propósito específico para el que fue destinada y para el cual el usuario fue debidamente notificado y entendió. El principio está destinado a reducir las instancias donde los datos personales recolectados para un propósito se procesan irregularmente de otras maneras fuera del propósito original.

Minimización de Datos

Este principio limita la capacidad de una organización para recolectar datos en una escala que exceda su uso legal. Establece que las organizaciones deben recolectar datos relevantes y limitados a su propósito previsto.

Precisión

Este es un principio bien conocido en la mayoría de las leyes de privacidad. Simplemente significa que todos los datos personales deben ser precisos, y las organizaciones tienen la responsabilidad de actualizar los datos inexactos a solicitud de un usuario.

Limitación de Almacenamiento

A menos que sea justificable, las organizaciones no deben almacenar datos personales indefinidamente.

Integridad y Confidencialidad

Quizás este es el principio alrededor del cual la mayoría de las organizaciones luchan cuando ocurren brechas de datos personales. El principio requiere que se tomen medidas apropiadas para asegurar los datos personales mediante el uso de controles físicos y digitales.

Responsabilidad

El último principio requiere que las organizaciones mantengan registros adecuados para demostrar el cumplimiento con la Ley de Protección de Datos.

Derechos Individuales de los Usuarios Bajo la Ley de Protección de Datos

Además de los siete principios, la Ley de Protección de Datos describe los derechos individuales de los ciudadanos que las organizaciones deben respetar. Los principios y los derechos respectivos forman la mayor parte de la Ley de Protección de Datos. Las organizaciones deben adherirse a lo siguiente para cumplir con la Ley de Protección de Datos:

Derecho a Ser Informado

Los usuarios tienen derecho a ser notificados cuando sus datos personales son recolectados, procesados, utilizados y compartidos. Las organizaciones son responsables de comunicar el propósito previsto de mantener y procesar estos datos y buscar un consentimiento informado.

Derecho de Acceso

Los usuarios tienen derecho a solicitar acceso a todos sus datos mantenidos por una organización.

Derecho de Rectificación

Esto corresponde al principio de precisión que discutimos en la sección anterior. Los usuarios o sujetos de datos, según lo definido en la Ley de Protección de Datos, tienen derecho a solicitar la rectificación de sus datos personales.

Derecho de Supresión

Este es el famoso derecho al olvido que muchas grandes empresas han intentado combatir en los tribunales. Da a los sujetos de datos el derecho a solicitar la eliminación de sus datos personales. Esto se aplica cuando el individuo siente que no hay razón para que una organización continúe manteniendo y procesando sus datos.

El Derecho a Restringir el Procesamiento

Los sujetos de datos tienen derecho a bloquear o suprimir el procesamiento de sus datos personales debido a datos inexactos o en espera de una objeción legal.

Derecho a la Portabilidad de Datos

Los usuarios tienen derecho a asegurar que sus datos personales sean accesibles en un formato que permita la reutilización de estos datos sin la necesidad de volver a enviar los datos repetidamente.

Derecho a Oponerse

Bajo ciertas circunstancias, los individuos tienen derecho a oponerse al procesamiento de sus datos personales. Las organizaciones tienen la obligación de informar a los sujetos de datos de este derecho.

Derecho a Desafiar la Toma de Decisiones Automatizada y la Elaboración de Perfiles

Los individuos tienen derecho a optar por no participar en la toma de decisiones automatizada cuando se trata de sus datos personales y cualquier elaboración de perfiles realizada a través de un proceso automatizado. Tienen derecho a solicitar una revisión por parte de un humano.

Penalizaciones por Incumplimiento

La Ley de Protección de Datos establece las penalizaciones por incumplimiento como una multa máxima de £17.5 millones o el 4% de los ingresos mundiales en el año financiero anterior para los casos más graves de incumplimiento. En caso de no notificar a la Oficina del Comisionado de Información del Reino Unido sobre una brecha y otras infracciones, la multa máxima es de £8.7 millones o el 2% de los ingresos globales de una empresa. Otras penalizaciones, según lo definido en la Ley de Protección de Datos, incluyen una prohibición temporal o permanente de la recolección y procesamiento de datos.

Cumplimiento de Comunicaciones de Contenido Sensible

Las organizaciones necesitan un enfoque integral de privacidad y cumplimiento para las comunicaciones de contenido sensible. El cumplimiento normativo con la Ley de Protección de Datos exige que las organizaciones rastreen, controlen y aseguren las comunicaciones privadas de PII, tanto internas como externas, y puedan demostrar una pista de auditoría basada en cómo se asegura en tránsito y en reposo, quién accede a ella, con quién se comparte y qué dispositivos se utilizaron.

Como las organizaciones a menudo emplean múltiples canales de comunicación que incluyen correo electrónico, uso compartido de archivos, transferencia de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs), se requiere un enfoque unificado. Pero la mayoría de las organizaciones utilizan más de cuatro herramientas para gestionar las comunicaciones de contenido sensible, lo que crea complejidad y mayor riesgo.

La plataforma Kiteworks permite a las organizaciones crear Redes de Contenido Privado utilizadas para la gobernanza, cumplimiento y protección de las comunicaciones de contenido sensible. Programa una programa una demostración personalizada de la plataforma Kiteworks para aprender cómo unifica, rastrea, controla y asegura PII y ayuda a las organizaciones a cumplir con la Ley de Protección de Datos y otras regulaciones.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks