¿Se aplica el cumplimiento del GDPR a las empresas estadounidenses?

En mayo de 2018, la Unión Europea promulgó uno de los conjuntos de normas más estrictos del mundo para la protección de datos personales. El nombre formal de esta legislación es el General Data Protection Regulation, pero es más conocido como GDPR.

El GDPR regula los datos personales, que se definen como cualquier información que pueda identificar a un individuo, llamado “sujeto de datos”. Las empresas afectadas deben cumplir con los deseos de los sujetos de datos sobre cómo se procesan sus datos personales, así como mantener registros de cómo ocurre este procesamiento.

Este artículo responde a la pregunta, ¿cuándo y cómo se aplica el GDPR a las empresas estadounidenses y a los ciudadanos de EE. UU.? Cubre los requisitos fundamentales de la ley y los detalles específicos de la aplicación del GDPR que toda empresa con sede en EE. UU. debería conocer.

El alcance para los datos personales bajo esta definición es significativamente más amplio que la mayoría de los estándares de cumplimiento de EE. UU., que tienden a proteger solo los datos que se pueden utilizar para cometer fraude. Además de nombres y números de identificación gubernamentales, el GDPR también protege información que puede vincularse con la “identidad física, fisiológica, genética, mental, económica, cultural o social” de una persona.

GDPR de un vistazo

¿Qué datos protege el GDPR?

El GDPR está diseñado para dar a los ciudadanos de la UE más control sobre los datos personales que las organizaciones recopilan, procesan y almacenan sobre ellos. El alcance del término “datos personales” bajo el GDPR es significativamente más amplio que la mayoría de las leyes de cumplimiento de EE. UU., que tienden a proteger solo los datos que se pueden utilizar para cometer fraude. Además de nombres y números de identificación gubernamentales, el GDPR también protege información que puede vincularse con la “identidad física, fisiológica, genética, mental, económica, cultural o social” de una persona, como su dirección IP y los datos de cookies del navegador.

¿Se aplica el GDPR a los ciudadanos de la UE que viven en EE. UU.?

No. El GDPR se refiere específicamente a “sujetos de datos que se encuentran en la Unión”. Si un ciudadano de la UE vive en EE. UU., el GDPR no se aplica. Esta es una distinción importante que debe considerarse si todo o casi todo el negocio de una empresa se lleva a cabo en ubicaciones físicas en territorio estadounidense.

Esa categoría abarca más organizaciones de las que podrías imaginar. Según el grupo de investigación Clutch.co, el 36% de las pequeñas empresas no tienen ningún tipo de sitio web. Como resultado, es mucho más fácil para estas compañías determinar si están haciendo negocios con residentes de la UE.

¿Se aplica el GDPR a los ciudadanos estadounidenses?

Puede hacerlo. El GDPR protege la información de cualquier persona que viva en la UE. Por lo tanto, si un ciudadano estadounidense vive en un país de la UE cuando una empresa recopila información sobre eso, el GDPR se aplicará a esos datos.

El GDPR no se aplica a los ciudadanos estadounidenses que viven en EE. UU., pero existen varias regulaciones de privacidad a nivel federal y estatal en EE. UU. que ofrecen algunas protecciones similares. En particular, la California Privacy Protection Act (CalOPPA) y la California Consumer Privacy Act (CCPA) controlan la recolección de “información personal identificable” de cualquier persona que resida en el estado de California (lo que incluye a cualquier residente de California que sea ciudadano de la UE).

Asimismo, la Ley de Protección de la Privacidad en Línea para Niños (COPPA) regula la recolección, uso y distribución de datos pertenecientes a cualquier niño menor de 13 años, independientemente de su ciudadanía, siempre y cuando se encuentren en EE. UU. cuando se recolecta su información.

¿Cómo afecta el GDPR a las empresas estadounidenses?

A diferencia de las regulaciones de cumplimiento específicas de la industria en EE. UU. como HIPAA para medicina y GLBA para finanzas, el GDPR es una regulación general de data privacy que se aplica a todas las organizaciones, públicas y privadas, que almacenan o procesan datos personales de residentes de la UE. Eso significa que muchas empresas estadounidenses están sujetas a la regulación.

Sin embargo, el GDPR reconoce que algunas empresas no pertenecientes a la UE hacen negocios con ciudadanos de la UE solo de manera incidental. De acuerdo con el Considerando 23, se requiere que las empresas extranjeras cumplan con el GDPR solo si dirigen su marketing a los residentes de la UE. Por ejemplo, si tienes un sitio web localizado en el idioma de un estado miembro de la UE y/o listas precios en Euros, se asumiría que estás dirigiendo tu atención a los ciudadanos de la UE y, por lo tanto, estarías sujeto al GDPR.

En general, usted puede ser considerado responsable si alguna de las siguientes condiciones es verdadera:

• Procesa regularmente los datos de residentes de la UE.
• Los derechos y libertades de esos sujetos de datos pueden estar en riesgo.
• Procesa información relacionada con special data categories, incluyendo el estado de salud, orígenes raciales o étnicos, orientación sexual o creencias religiosas.

¿Se aplica el GDPR a las agencias gubernamentales de EE. UU. y otras organizaciones del sector público?

Técnicamente, el GDPR se aplica a todas las organizaciones, públicas y privadas, en todo el mundo. Sin embargo, en la práctica, solo es probable que algunas agencias gubernamentales de EE. UU. estén

El GDPR controla las actividades de procesamiento en torno a los datos personales solo si dicho procesamiento sirve a uno de dos propósitos:

• Ofreciendo bienes o servicios
• Monitoreo del comportamiento de un sujeto de datos tal como ocurre dentro de la Unión Europea

Por lo tanto, muchas organizaciones del sector público no están sujetas al GDPR. Algunas agencias federales, incluyendo el Department of Homeland Security y el State Department, pueden tener motivos para recopilar datos personales de ciudadanos de la UE y usarlos para monitorear comportamientos. De manera similar, si una junta de turismo estatal recopilase datos con el propósito de hacer marketing dirigido a ciudadanos de la UE, o si un colegio estatal recopilase información sobre un posible estudiante, el GDPR sería aplicable. Pero la mayoría de otras agencias gubernamentales, incluyendo aquellas que recopilan datos relacionados con los intereses comerciales de ciudadanos de la UE, son poco probables de estar sujetas al GDPR

¿Cuáles son los requisitos más importantes del GDPR para las empresas estadounidenses?

Cualquier organización, ya sea del sector privado o público, que almacene o procese información personal sobre residentes de la UE debe cumplir con el RGPD, incluso si no tiene una presencia física dentro de la UE. A continuación se explican los requisitos más importantes.

Requisitos para controladores y procesadores

Los requisitos del GDPR dependen de si actúas como Responsable o como Encargado:

• Los responsables del tratamiento definen los fines y los medios del procesamiento de los datos personales. Deben implementar las medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de los datos personales se realiza de acuerdo con el RGPD.
• Los procesadores manejan datos personales siguiendo las instrucciones documentadas de un Controlador. Los procesadores pueden ser grupos internos que mantienen y procesan registros de datos personales, o una empresa de externalización que realiza todas o parte de esas actividades.

El GDPR responsabiliza tanto a los Controladores como a los Procesadores por violaciones de sus disposiciones. Por lo tanto, es posible que tanto su empresa como un socio de procesamiento de datos, como un proveedor de servicios en la nube, sean responsables de multas y otras sanciones bajo el GDPR, incluso si la culpa es enteramente del socio de procesamiento.

Requisitos para contratos de procesamiento de datos

El GDPR exige que los Controladores y Procesadores celebren un contrato legalmente vinculante cuando un Controlador contrata a un Procesador para procesar datos personales en su nombre. Se requiere que los Controladores utilicen solo Procesadores que ofrezcan garantías suficientes de contar con medidas técnicas y organizativas apropiadas para cumplir con el GDPR. Estas medidas deben detallarse en la política de Data Security Posture Management de la organización.

El artículo 28 detalla lo que debe incluirse en un Contrato de Procesamiento de Datos entre un controlador de datos y un procesador de datos. Primero, debe incluir los siguientes detalles:

• La materia, duración, naturaleza y propósito del procesamiento de datos
• El tipo de datos personales que se procesan
• Las categorías de sujetos de datos cuyos datos personales están siendo procesados
• Los requisitos y derechos del Controlador

Además, el contrato debe contener las siguientes disposiciones:

• El Procesador solo procesará los datos personales recibidos del Controlador siguiendo las instrucciones documentadas de este último (a menos que la ley exija procesar los datos personales sin dichas instrucciones).
• El Procesador asegura que cualquier persona que procese datos personales esté sujeta a un deber de confidencialidad.
• El Procesador toma todas las medidas requeridas por el Artículo 32, incluyendo la implementación de medidas técnicas y organizativas apropiadas para proteger los datos personales recibidos del Controlador.
• El Procesador obtiene autorización por escrito para cualquier subprocesador que el Procesador pueda contratar para procesar los datos personales recibidos del Controlador. Si el Controlador proporciona una autorización general por escrito para contratar subprocesadores, se debe dar al Controlador la oportunidad de objetar con antelación a cada subprocesador individual que el Procesador proponga contratar.
• Cualquier subprocesador contratado por el Procesador está sujeto a los mismos requisitos de protección de datos que el Procesador y que el Procesador sigue siendo directamente responsable ante el Controlador por el cumplimiento de los requisitos de protección de datos de un subprocesador.
• El Procesador apoya al Controlador implementando medidas técnicas y organizativas adecuadas para responder a las solicitudes de los sujetos de datos bajo el GDPR.

• El Procesador apoya al Controlador para garantizar el cumplimiento de los requisitos del GDPR para la seguridad del procesamiento de datos (Artículo 32), notificación de data breaches (Artículos 33 y 34) y evaluaciones de impacto de protección de datos (Artículos 35 y 36).
• Al final del procesamiento de datos por parte del Procesador y según las instrucciones del Controlador, el Procesador elimina o devuelve los datos personales recibidos del Controlador.
• El Procesador pone a disposición del Controlador toda la información necesaria para demostrar el cumplimiento del Artículo 28 y que el Procesador permite y contribuye a las auditorías realizadas por el Controlador o un tercero en nombre del Controlador.

Existen otras disposiciones que los Controladores y Procesadores pueden querer incluir en un Contrato de Procesamiento de Datos según cada caso, pero que no son obligatorias bajo el GDPR, tales como:

• Disposiciones de responsabilidad (incluyendo indemnizaciones)
• Disposiciones de seguridad detalladas (técnicas)
• Disposiciones adicionales de cooperación entre el Controlador y el Procesador

Reglas para empresas multinacionales

Si su empresa con sede en EE. UU. forma parte de una empresa multinacional establecida en la UE y recibe regularmente datos de sus contrapartes de la UE sobre ciudadanos de la UE, está sujeto a normas que regulan estas transferencias de datos entre países. Estas Reglas Corporativas Vinculantes (BCRs) están especificadas en el Artículo 29 y proporcionan un marco para que las empresas multinacionales transfieran datos personales desde el Espacio Económico Europeo (EEE) a sus filiales ubicadas fuera del EEE en cumplimiento legal con el 8º principio de protección de datos y el Artículo 25 de la Directiva 95/46/CE.

Reglas para la notificación de violación de datos

Notificaciones de violación de datos deben emitirse cuando una violación de seguridad conduce a la divulgación, pérdida o alteración accidental o ilegal de datos personales. El data privacy law de GDPR establece que si una data breach pone en riesgo los derechos personales y libertades de los individuos y no se pueden contener esos riesgos, todos los individuos afectados deben ser notificados. Si una empresa determina que no existe tal riesgo, esa posición debe estar respaldada por evidencia creíble. Los procesadores de datos que experimenten violaciones también deben notificar al controlador de datos relevante. También debe notificar a las autoridades de protección de datos; si la violación afecta a personas en múltiples localidades, deberá notificar a la autoridad con la jurisdicción más amplia. Un regulador no va a decir que no deberías haber tenido una violación. Van a decir que deberías tener las políticas, procedimientos y estructura de respuesta en lugar para resolver eso rápidamente.

Aunque el plazo legal para informar sobre una violación es de 72 horas, no espere hasta la última hora para hacerlo; realice un informe tan pronto como tenga conocimiento de una violación y avise al regulador que está estableciendo su proceso de respuesta y que proporcionará actualizaciones.

Requisito para evaluaciones de impacto en la protección de datos

El artículo 35 del RGPD exige que todas las empresas realicen evaluaciones de impacto en la protección de datos (DPIA) para evaluar los riesgos potenciales relacionados con los datos y para demostrar cómo circulan los datos dentro de la organización. Hay cuatro componentes básicos en una evaluación de impacto en la protección de datos:

• Una descripción de las operaciones de procesamiento
• Una explicación de por qué se está realizando el procesamiento y por qué es necesario
• Una descripción de las medidas que se están tomando para mitigar el riesgo y proteger la privacidad de los usuarios
• Un informe detallando el riesgo frente al beneficio

El GDPR no proporciona una estructura específica para estas evaluaciones, pero sí especifica que la recopilación y el procesamiento de datos siempre deben “servir a la humanidad”, indicando que el enfoque debe ser su beneficio para los sujetos de los datos.

Consentimiento para el procesamiento de datos

Bajo el GDPR, las empresas deben recibir consentimiento explícito para procesar datos personales: Cada sujeto de datos debe no solo permitir que recolecten y almacenen sus datos, sino también que sus datos sean utilizados de la manera que usted pretende.

Los sujetos de datos tienen el derecho de retirar su consentimiento para cualquier propósito. Si un cliente decide que ya no desea recibir los anuncios dirigidos que usted crea utilizando sus datos, está obligado a eliminar al cliente de su sistema.

Protección de los derechos del sujeto de datos

El GDPR enumera ocho derechos del interesado que las empresas tienen la obligación de respetar. Son los siguientes:

• El derecho a ser informado sobre lo que sucede con los datos personales
• El derecho a obtener una copia de los datos recopilados y cualquier información suplementaria para el contexto
• El derecho a que se corrijan los datos inexactos
• El derecho a que se eliminen los datos personales (bajo ciertas circunstancias)
• El derecho a limitar cómo se utilizan los datos
• El derecho a recibir un informe de qué datos han sido recopilados
• El derecho a ordenar que el procesamiento de datos se detenga
• El derecho a no ser objeto de decisiones basadas en el procesamiento automatizado de datos

Además, las empresas deben facilitar que los sujetos de los datos ejerzan estos derechos. Por ejemplo, pueden optar por emitir una política de privacidad y requerir que los clientes marquen una casilla de “aceptar”. Estos procedimientos deben estar detallados en su declaración de privacidad, la cual debe actualizarse regularmente (un buen control de versiones es una manera prudente de demostrar el cumplimiento).

Nombramiento de personal

La Comisión Europea recomienda que cada empresa afectada cuente con un delegado de protección de datos (DPO) en su plantilla. Se requiere que tenga un DPO si se aplica alguna de las siguientes condiciones:

• Usted es una autoridad pública que procesa datos protegidos por el GDPR.
• Sus actividades principales incluyen el monitoreo sistemático y a gran escala de datos.
• Procesa una categoría especial de datos, como el estado de salud, el origen racial o étnico, la orientación sexual o las creencias religiosas.

Incluso cuando el GDPR no requiere específicamente el nombramiento de un DPO, las organizaciones a veces pueden encontrar útil designar un DPO de manera voluntaria. El DPO es una piedra angular de la rendición de cuentas, y nombrar un DPO puede demostrar y facilitar el cumplimiento, otorgando una ventaja competitiva a las empresas al demostrar cuán ética es su organización. El Grupo de Trabajo del Artículo 29 sobre Protección de Datos (‘WP29’) fomenta estos esfuerzos voluntarios. (Este grupo incluye representantes de las autoridades de protección de datos de cada estado miembro de la UE y emite directrices para cumplir con los requisitos del GDPR, como el nombramiento de DPOs.)

Un DPO puede ser cualquier miembro del personal que asegure que la estrategia de protección de datos de su empresa cumple con el GDPR. Si no tiene una presencia física en la UE, necesitará nombrar un representante en un país de la UE. El DPO puede tener otras funciones, siempre y cuando todavía tenga tiempo para monitorear el cumplimiento del GDPR.

Una vez que haya nombrado un DPO o contratado a alguien nuevo para desempeñar el cargo, asegúrese de que sepan lo que tienen que hacer y que cuenten con los recursos necesarios para hacerlo. Una lista de verificación exhaustiva es ideal. Además de tareas como facilitar las DPIAs y realizar auditorías, los DPOs actúan como intermediarios entre las partes interesadas, como las autoridades de supervisión, los sujetos de datos y las unidades de negocio dentro de una organización.

Tenga en cuenta que los DPOs no son personalmente responsables en caso de incumplimiento del GDPR. El Artículo 24 aclara que es el Controlador o el Procesador quien debe asegurar y poder demostrar que el procesamiento se realiza de acuerdo con las disposiciones del GDPR.

Posteriormente: Consejos para cumplir con el GDPR

La mejor manera de lograr el cumplimiento del GDPR es adoptar un enfoque de arriba hacia abajo, pensando en los objetivos principales y luego determinando qué controles técnicos elegir para alcanzar esos objetivos. Aparte de las obvias GDPR Compliance Tools, hay tres cosas clave que tener en cuenta cuando buscas garantizar la seguridad de los datos regulados:

Gestión de riesgos de seguridad

El GDPR enfatiza un enfoque basado en el riesgo para la protección de datos y la seguridad de sus sistemas y servicios de procesamiento. Debe identificar y evaluar sus riesgos, y luego tomar medidas adecuadas para gestionarlos basándose en factores como:

• La tecnología disponible
• El costo de implementar herramientas y procesos
• La naturaleza, alcance, contexto y propósito del procesamiento
• La gravedad y la probabilidad de los riesgos
• Los datos personales que procesas
• Los sistemas que procesan esos datos

Cuando el procesamiento de datos probablemente resulte en un alto riesgo para los derechos y libertades de los individuos, debe realizar una Evaluación de Impacto sobre la Protección de Datos (DPIA) para establecer el impacto del procesamiento previsto en la protección de datos personales e identificar las medidas técnicas y organizativas necesarias para mitigar el riesgo. Si esas medidas no reducen el riesgo a un nivel aceptable, necesita consultar con su autoridad reguladora de datos antes de comenzar el procesamiento.

Gobernanza

También necesita implementar protección de datos adecuada y information security policies y procesos correspondientes. Asegúrese de mantener registros de las actividades de procesamiento y, si es necesario, designar un Oficial de Protección de Datos.

Concienciación y formación del personal

Ayude a su personal a gestionar los datos personales de manera segura proporcionando educación sobre concienciación relevante, así como formación en el uso adecuado de sus sistemas y herramientas. Por ejemplo, el personal debe ser competente para no procesar datos personales inadvertidamente (por ejemplo, enviándolos al destinatario incorrecto).

Preguntas frecuentes

¿Qué significa el GDPR para las empresas estadounidenses?

El GDPR regula la recopilación y el procesamiento de datos personales pertenecientes a residentes de la UE, incluso si la empresa está ubicada en EE. UU.

¿Cómo afecta el GDPR a las empresas con sede en Estados Unidos?

Las empresas estadounidenses deben cumplir con el GDPR si ofrecen bienes o servicios a residentes de la UE en particular, o si monitorean el comportamiento de los residentes de la UE dentro de la Unión.

¿Cuándo es necesaria la conformidad con el GDPR en los Estados Unidos?

Si una empresa recopila datos personales de residentes de la UE con fines comerciales y lo hace más que de manera ocasional, debe estar conforme con el GDPR .

¿Qué es el dato personal, según el GDPR, en los Estados Unidos?

Los datos personales son cualquier información que pueda asociarse con la identidad individual o social de una persona. Eso incluye el nombre de la persona, residencia, trabajo o afiliación religiosa.

¿Qué sucede si las empresas estadounidenses no cumplen con el GDPR?

Cualquier empresa que se encuentre en violación del GDPR puede estar sujeta a multas de entre 10 millones de euros y 20 millones de euros o hasta el 4% de los ingresos anuales de la empresa.

¿Qué organización tiene la autoridad para penalizar a las empresas estadounidenses que no cumplen con la normativa?

La Comisión Europea es el organismo regulador oficial para el GDPR. Si se descubre que una empresa está violando estas regulaciones pero no está bajo la jurisdicción de Europa, la CE puede colaborar con gobiernos internacionales para imponer multas y penalizaciones.