[lacnog] sanciones de hasta 20 millones de Euros - entrada en vigor de GDPR - afecta a todo el mundo

[JORDI PALET MARTINEZ]

Hola,

Comentando ayer durante la reunión del ESNOG (grupo de operadores Español), y esta mañana también en la lista de AfriNIC, creo que es interesante mencionar este tema aquí.

El próximo 25 de Mayo, es el plazo límite para cumplir con el GDPR (General Data Protection Regulation, y en castellano RGPD, Reglamento General de Protección de Datos).

Este reglamento, entró en vigor hace unos 2 años, pero permitía a las organizaciones adecuarse a él hasta la fecha antes indicada, y sustituye a las regulaciones de datos personales de todos los países de la Unión Europea.

Porque afecta a otras organizaciones, aunque no estén en la UE? Sencillo, porque si "registran" datos personales de ciudadanos o residentes en la EU, están obligadas a cumplirlo.

Cuales son las sanciones? Hasta el 4% de la facturación, con un tope de 20 millones de euros.

Porque afecta a los ISPs? Voy a poner un ejemplo muy sencillo. Un ISP tiene servidores DNS (o web) y conserva, sin la adecuada protección y sin anonimizar, logs de usuarios que están en la EU, y por tanto con IPs o emails (que son datos personales). El propio ISP o terceros, pueden usar esos datos tanto para actividades comerciales, marketing, email marketing (spam en definitiva), o incluso mas allá, para actividades delictivas, ataques, y en definitiva cualquier tipo de "abuso". Pero, aunque no haya un abuso, es obligatorio cumplir con los requisitos para "salvaguardar" los datos personales, según dicho reglamento.

Creo que queda claro que afecta a todos? Por ejemplo, en el caso del sistema de eventos de LACNIC, sin duda afecta a los datos de registro ...

Os pongo un ejemplo mas, del recorrido que puede tener esta legislación, que surgió hablando de este tema con abogados. Un cliente de un ISP utiliza datos personales para realizar cualquier tipo de "abuso". El ISP ignora las reclamaciones de abuso, o incluso no colabora en localizar al cliente, y posiblemente incluso en su contrato prohíbe dichas prácticas. Al final, ese ISP podrá ser responsable civil subsidiario.

No es por nada, pero he tenido varios (por no decir muchos) casos de abusos desde LACNIC (lo he mencionado alguna vez en esta misma lista creo, especialmente desde Brasil, Peru, Colombia, Argentina y Uruguay), y los buzones de abuso no eran respondidos, no funcionaban, no existían, o no estaban monitorizados, o incluso han llegado a decir, que les daba igual lo que hacía su cliente. No digo que esto no pase en otras regiones, pero por ejemplo no me ha pasado apenas desde AfriNIC, y muy poco desde APNIC, por no decir que muchísimo menos desde ARIN o RIPE.

Hay un articulo que lo explica "en corto":
https://www.gdprandbeyond.com/blog-post/data-privacy/gdpr-affect-non-european-companies/

Si solo queréis leer lo "importante":
"The short answer is: the regulation will affect firms both inside and outside of the EU. In fact, any company dealing with EU businesses’, residents’, or citizens’ data will have to comply with the GDPR."

Saludos,
Jordi
 



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.