Hola -
Chris Craig, aquí. Como sabes, me gusta mantener a amigos y colegas al tanto de las últimas y mejores novedades del mundo de las entidades sin fines de lucro y organizaciones afines. Hoy les brindo una nota muy breve sobre un cambio que afectará a muchas entidades con sede en EE. UU. a partir de mañana: la implementación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE). Estas nuevas normas están diseñadas para permitir a las personas residentes en la UE controlar mejor sus datos personales. A continuación se incluye SÓLO un RESUMEN, y no una profundización en las reglas, requisitos u otros aspectos, y no constituye asesoramiento legal. Como señalo a continuación, si tiene consultas específicas, le recomiendo encarecidamente que consulte a un abogado.
Para cumplir con los estándares del RGPD de la UE, deberá ACTUALIZAR SU Política de privacidad ACTUAL para los datos recopilados (a través de Internet y de otro modo). ¿No tienes una póliza? Si recopila datos, POR FAVOR asegúrese de adoptar una política de conformidad con sus normas locales, estatales y de EE. UU., y posiblemente con las normas de la UE. Sigue leyendo. . .
Según el RGPD, si recopila datos personales o información de comportamiento de alguien en un país de la UE, está sujeto a los requisitos del RGPD. La ley sólo se aplica si el consumidor o usuario se encuentra en la UE cuando se recopilan los datos. Además, no es necesario que se realice una transacción financiera para que entre en vigor el alcance ampliado de la ley. Si la organización recopila "datos personales" (información de identificación personal o PII) como parte de una encuesta de marketing, entonces los datos deben protegerse al estilo GDPR. Las normas se aplicarían, por tanto, a una empresa estadounidense sin presencia física. en un país de la UE que recopila datos personales pertenecientes a un usuario de la UE a través de Internet. Sin embargo, dicha recopilación tendría que estar dirigida a un usuario de un país de la UE. Digamos, por ejemplo, que la divulgación está escrita en el idioma nativo de un usuario de la UE. Otras transacciones, como la aceptación de pagos, también inclinarían la balanza a favor de la cobertura. El marketing genérico no cuenta.
Para las entidades que entran en la categoría "cubierta", es imperativo que actualicen su políticas de privacidad y/o Términos de uso de Internet para que cumplan con los estándares de la UE o los excluyan de alguna manera. De lo contrario, dichas entidades pueden estar sujetas a la aplicación de la UE.
Las características de la nueva política incluyen exigir a los usuarios que opten por participar antes de recopilar datos, en lugar de optar por no participar; exigir notificación, dentro de las 72 horas, de cualquier violación de datos; otorgando a los usuarios el derecho a que sus datos sean eliminados definitivamente (Derecho al Olvido). Esta es una lista no exhaustiva.
Entre los profesionales, se cree que hay varias razones para cumplir, incluso si no crees que estás sujeto a las regulaciones GDPR. Tales razones incluyen, entre otras:
- Protege a la entidad contra el riesgo de que, de hecho, tenga datos sujetos al RGPD y no lo sepa.
- Es, en teoría, más seguro.
- Algunos sugieren que es una “mejor práctica” en el sentido de que el manejo adecuado de los datos personales infunde confianza y ayuda a prevenir costosas violaciones de datos.
- Prepara a la entidad para el futuro potencial de la recopilación de datos si el estándar de la UE migra fuera de la UE a los EE. UU.
Si tiene alguna pregunta o necesita más información, no dude en ponerse en contacto conmigo.
