Cumplimiento de la Ley de Protección de Datos Personales: Una Guía para Empresas

og-image

Necesitas consulta y soporte

evelop.pngContáctanos ahora

El cumplimiento de la Ley de Protección de Datos Personales va más allá de simplemente delegar responsabilidades a contratistas y proveedores de servicios o agregar algunas líneas de código a las soluciones tecnológicas existentes. En realidad, implica la preparación del personal, la tecnología y los procesos. Este artículo guiará a las empresas sobre cómo implementar medidas para cumplir con la Ley de Protección de Datos Personales no solo en Vietnam sino también a nivel global, con el fin de evitar violaciones legales y minimizar riesgos inesperados.

El Decreto 13 del Gobierno de Vietnam sobre Protección de Datos Personales entrará en vigor el 1 de julio de 2023. Este decreto se aplica a todas las organizaciones e individuos nacionales y extranjeros involucrados en el procesamiento de datos personales en Vietnam, incluyendo el procesamiento de datos personales de ciudadanos vietnamitas fuera de Vietnam. Como resultado, las empresas deben implementar actividades de gestión de privacidad para cumplir con los requisitos del Decreto N.º 13, al mismo tiempo que aseguran el cumplimiento con regulaciones globales sobre la protección de datos personales, como el GDPR y otras disposiciones similares.

2132154

1. PDPD y otras leyes de protección de datos personales: comparación

Muchos países y regiones del mundo han promulgado regulaciones y leyes de protección de datos personales para proteger la privacidad y la seguridad de los usuarios. Aquí hay algunos ejemplos:

  • Decreto de Protección de Datos Personales de Vietnam (PDPD)
  • Reglamento General de Protección de Datos (GDPR)
  • Ley de Protección de Datos Personales de Singapur (PDPA)
  • Ley de Derechos de Privacidad de California (CPRA)
  • Ley General de Protección de Datos de Brasil (LGPD)

El cumplimiento tanto del PDPD como de las leyes antes mencionadas es fundamental para las empresas que operan en los mercados vietnamita e internacional. A continuación se muestran algunas comparaciones entre el PDPD y otras leyes de protección de datos personales:

Aplicabilidad

  • PDPD: Se aplica al procesamiento de datos personales en Vietnam, e incluso si el procesamiento ocurre fuera de Vietnam.

  • GDPR: Se aplica al procesamiento de datos personales tanto dentro como fuera de la UE (si se procesan datos de ciudadanos y residentes de la UE).

  • CPRA: Se aplica al procesamiento de datos personales tanto dentro como fuera de los Estados Unidos (si se procesan datos de ciudadanos y residentes de California).

  • LGPD: Se aplica al procesamiento de datos personales en Brasil.

Ámbito de aplicación

  • PDPD y LGPD: Se aplican tanto a organizaciones como a individuos involucrados en el procesamiento de datos personales.
  • GDPR y CPRA: Generalmente se aplican a empresas y entidades comerciales.

Principios

  • PDPD: Transparencia, legalidad, limitación de propósito, proactividad, seguridad y restricciones en la transferencia transfronteriza de datos hasta que se cumplan los requisitos.
  • GDPR, CPRA, LGPD: incluyen principios similares como legalidad, equidad y transparencia; limitación de propósito; minimización de datos; precisión; limitación de almacenamiento; integridad y confidencialidad; y responsabilidad.

Derechos de los propietarios de datos

  • PDPD: Acceso, corrección, eliminación y objeción al procesamiento de datos personales.
  • GDPR, CPRA, LGPD: También garantizan los derechos de acceso, corrección, eliminación y objeción, así como la portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas.

Sanciones por incumplimiento

  • PDPD: Multas administrativas (hasta 100 millones de dong vietnamitas) y sanciones penales (hasta 7 años de prisión).
  • GDPR, CPRA, LGPD: Imponen multas administrativas más elevadas (hasta 20 millones de euros o el 4% de la facturación global anual según el GDPR).

pdpd and other personal data protection laws comparison

Algunos ejemplos de sanciones por violar los derechos de privacidad de los clientes incluyen:

En 2018, Cambridge Analytica, una empresa de análisis de datos asociada con el presidente de EE. UU., Donald Trump, utilizó la información personal de más de 87 millones de usuarios de Facebook con fines políticos. Facebook más tarde reconoció violaciones de seguridad, incluido el compromiso de la información personal de millones de usuarios. Este incidente resultó en una multa de casi 5 mil millones de dólares para Facebook, equivalente a aproximadamente el 9% de sus ingresos en 2018.

En marzo de 2021, Meta - entonces conocida como Facebook - fue condenada a pagar 650 millones de dólares por violaciones de privacidad relacionadas con la tecnología de reconocimiento facial en la función de etiquetado de fotos de Facebook.

En Francia, Google fue multado con 150 millones de euros (más de 169 millones de dólares) en enero de 2022, y Facebook fue multado con 60 millones de euros (más de 67 millones de dólares) por usar el historial de actividad del cliente (cookies) para coordinar información publicitaria.

Cathay Pacific Airways también fue multada con 500,000 libras esterlinas por violaciones de datos que involucraban información de pasaportes de clientes. La cadena de hoteles Marriott fue multada con casi 100 millones de libras por exponer los datos de 339 millones de clientes, y British Airways fue multada con 183 millones de libras por violaciones de datos de clientes también.

2. Cinco pasos para establecer un proceso de cumplimiento de la ley de protección de datos personales

Para cumplir con la Ley de Protección de Datos Personales y evitar sanciones, cada individuo, organización y empresa debe entender las regulaciones y principios delineados en el PDPD, GDPR y otras regulaciones similares. A continuación se presenta una guía paso a paso para desarrollar un proceso de cumplimiento altamente beneficioso:

Paso 1: Crear una referencia de mapeo de datos

Las organizaciones deben tener un departamento de monitoreo de protección de datos y un Oficial de Protección de Datos (DPO). Un DPO debe entender dónde se almacenan los datos de la organización así como el contenido de esos datos.

Si la referencia de mapeo de datos de la organización es incompleta o insuficiente, el DPO debería consultar con las partes relevantes en el departamento de Tecnología de la Información (TI) de la organización para desarrollar un plan de gobernanza de datos comprensivo.

Nota: Si la organización contrata y transfiere datos personales a subcontratistas o proveedores de servicios de terceros, como servicios en la nube o empresas de almacenamiento de datos, la referencia de mapeo de datos y los requisitos para cumplir con la Ley de Protección de Datos Personales también se aplican a esos subcontratistas.

Paso 2: Identificar tipos de datos personales procesados

Las organizaciones y empresas deben entender la naturaleza de los datos personales de sus clientes además de saber dónde están almacenados actualmente. Los datos personales se clasifican en dos categorías bajo el Decreto de Protección de Datos Personales Vietnam 2023: datos personales básicos y datos personales sensibles. Las organizaciones deben entender y asegurar que la recopilación, procesamiento y almacenamiento de datos cumplan con los requisitos legales.

Paso 3: Obtener el consentimiento del cliente

El consentimiento de los sujetos de datos es esencial para almacenar y transferir sus datos personales. Las organizaciones deben proporcionar información clara y transparente a los clientes para obtener su consentimiento para el almacenamiento y procesamiento de datos personales.

Cada individuo tiene derecho a saber dónde se almacenan sus datos personales y cómo se procesan. También tienen derecho a presentar una queja si la organización almacena información inexacta y a solicitar que se corrija o elimine.

Nota: El consentimiento no solo se aplica al procesamiento de datos personales. El Decreto 13, al igual que el GDPR, requiere cumplir con principios, a saber, procesar datos (i) legalmente; (ii) de manera transparente; (iii) para los propósito(s) divulgados; (iv) con propósito y alcance limitados; (v) utilizando datos apropiados y actualizados; y (vi) confidencialmente; mientras que (vii) asegura que los datos se almacenen por el período de retención apropiado, y (viii) ser responsable.

Paso 4: Seguridad de datos y notificación/reporte de brechas de datos

Las organizaciones y empresas deben participar en actividades de soporte técnico para garantizar la seguridad de la información y prevenir la filtración de información personal de los clientes. Sin embargo, si ocurre una brecha de información, el incidente debe ser reportado tanto a la empresa como a las personas afectadas.

La Ley de Protección de Datos Personales en Vietnam, al igual que las regulaciones del GDPR, requiere que las empresas notifiquen a las autoridades sobre cualquier violación de datos personales dentro de las 72 horas posteriores a la ocurrencia de la misma.

Paso 5: Mantener un seguimiento de las transferencias de datos

El PDPD, al igual que el GDPR, establece requisitos estrictos para restringir la transferencia de datos personales. Las empresas deben tener disposiciones y medidas en vigor para prevenir transferencias de datos no autorizadas. La transferencia de datos personales a países extranjeros debe cumplir con las regulaciones del Decreto 13, así como con las disposiciones sobre acceso al contenido de los datos.

En casos donde la transferencia de datos personales viole los intereses nacionales o la seguridad, el Ministerio de Seguridad Pública tiene la autoridad para prohibir cualquier actividad que involucre la transferencia de datos personales al extranjero.

the pdpd like the gdpr establishes stringent requirements for restricting the transfer of personal data

3. ¿Cómo pueden las soluciones tecnológicas de R Digital ayudar a las empresas?

Cuando el Decreto de Protección de Datos Personales Vietnam 2023 entre en vigor, las empresas no solo deben preparar documentación y procedimientos para cumplir con los requisitos del Decreto, sino también cambiar su tecnología para alinearla con la gestión de la organización y las operaciones comerciales. Este es un paso importante y necesario para garantizar el cumplimiento regulatorio y minimizar los riesgos legales, así como los efectos negativos en la reputación de la organización.

R Digital asiste a las empresas en la implementación de tecnología de código abierto que prioriza la privacidad y la protección de datos de los usuarios. Estos son algunos ejemplos:

  • Tecnología AesirX Analytics

AesirX Analytics es la mejor alternativa gratuita y conforme a Google Analytics actualmente disponible.

Aunque Google Analytics (GA) ofrece una herramienta de análisis gratuita, muchas agencias de protección de datos en varios países creen que esta herramienta ya no es utilizable porque no cumple con los estándares del Reglamento General de Protección de Datos (GDPR).

Además, GA emplea cookies para recopilar datos y generar informes estadísticos. Muchos navegadores están bloqueando y prohibiendo cada vez más las cookies, lo que resulta en deficiencias de datos y análisis ineficaces de GA debido a las negativas de los visitantes y las prohibiciones de seguimiento.

La solución AesirX Analytics de R Digital, por otro lado, cumple completamente con el GDPR, CPRA y otras regulaciones. AesirX Analytics, en particular, recopila datos de primera parte, realiza análisis legales y supera a las herramientas tradicionales en más del 30%.

  • Tecnología AesirX SSO

Individuos y organizaciones pueden beneficiarse de la solución SSO de diversas maneras. Por ejemplo, un inicio de sesión único permite acceder a múltiples sitios web/aplicaciones con un solo inicio de sesión, reduciendo la probabilidad de olvido de contraseñas y fomentando el uso de contraseñas más fuertes y seguras. Aumenta la productividad y disminuye el tiempo de inicio de sesión mientras reduce los costos y la carga de trabajo para el personal y los equipos de TI. También mejora la seguridad y la experiencia del cliente.

  • Solución de autenticación AesirX Shield of Privacy

La solución AesirX Shield of Privacy emplea la tecnología de seguridad de conocimiento cero de Concordium y blockchain para proteger la información personal. Es una nueva solución de verificación de identidad que prioriza la privacidad al permitir a los usuarios verificar su identidad sin revelar información personal.

El cumplimiento de la Ley de Protección de Datos Personales es un requisito crítico para las empresas. Desde la recolección y almacenamiento de datos hasta el procesamiento de información personal en Internet, se deben establecer las salvaguardias adecuadas. R Digital comprende la importancia de la privacidad de los datos y las regulaciones actuales. Estamos listos para asistir a las empresas en la implementación de nuevas tecnologías legales y en la mejora de sus soluciones digitales existentes. Contacta a R Digital para una consulta gratuita y una evaluación de la conformidad de tu sitio web con las leyes de protección de datos personales y soluciones de comercio electrónico.

CONSULTA GRATUITA Y AUDITORÍA DE CUMPLIMIENTO