Introducción
La Unión Europea aprobó en mayo de 1996 el Reglamento General de Protección de Datos (RGPD o GDPR en inglés) y entró en vigor en mayo de 2018.
Desde ese momento cualquier empresa que opere en la Unión Europea o cualquier empresa que tenga relación con personas que pertenezcan a esta tienen la obligación de cumplir este reglamento.
Cada caso es cada caso
Una de las primeras cosas que hace el nuevo Reglamento es delegar completamente la responsabilidad del tratamiento de los datos personales a las empresas, en contraposición a los que se decía en la antigua LOPD donde se establecían directrices claras en las medidas de seguridad y retención sobre determinados datos.
Esto implica que cada empresa debe hacer una interpretación de la norma y adaptarla a sus necesidades.
No queremos explicar nada que ya no se sepa, en esta entrada queremos explicar como UBM se adapta de forma que su uso por parte de las empresas sea muy sencilla.
Nuestra visión
Pensamos que deberíamos hacer que el cumplimiento normativo fuese lo más fácilmente posible para las empresas, para esto se han automatizado procesos y se han implementado soluciones que permiten el cumplimiento de manera muy sencilla.
La anonimización y borrado de datos
El reglamento exige, que una vez que haya pasado el tiempo definido por cada empresa, durante el cual está activo el interés legítimo o en caso de relación contractual esta haya terminada y no haya obligación legal de retención de esa información, esta debe ser “ocultada” para evitar el acceso. Y una vez vencido el tiempo de retención con los datos ocultos hay obligación legal de borrarla.
¿Cómo hemos implementado esto?
Cuando se configura una plataforma hacemos tres cosas:
- Solicitamos el tiempo que la empresa ha definido como tiempo para “ocultar” esos datos una vez que el interés legítimo queda extinto.
- Solicitamos el tiempo que debe transcurrir desde que la información se ha ocultado y esta debe ser borrada.
- Generamos una clave única de encriptación que facilitamos al cliente.
¿Cómo es el proceso?
No siempre los automatismos son suficientes
No siempre son suficientes los procesos automáticos. Programáticamente exponemos los siguientes endPoints de nuestro API:
- Derecho de acceso
- Derecho a la rectificación de los datos
- Derecho a la supresión de los datos
- Derecho a la limitación de acceso
Esta funcionalidad está expuesta programáticamente, para su uso por los sistemas de backoffice de las compañías.