Hoy, 25 de mayo, comienza a aplicarse en todo el territorio de la Unión Europea el Reglamento General de Protección de Datos (General Data Protection Regulation o GDPR). Una normativa que entró en vigor el 25 de mayo de 2016, aunque la obligatoriedad de su aplicación no se ha producido hasta hoy para que empresas, organizaciones, organismos e instituciones públicas tuvieran un margen de tiempo temporal para adaptarse a ella. ¿Conoces la normativa? ¿Sabes cómo te afecta? ¿Estás preparado para cumplirla?
Son múltiples los artículos que te hemos venido ofreciendo sobre GDPR, pero en el día de su aplicación estimamos conveniente repasar lo más importante de un reglamento que cambia completamente las bases de cómo las organizaciones deben gestionar los datos personales de los ciudadanos de la UE y que contempla cuantiosas multas por su incumplimiento.
¿Qué es GDPR?
Desde los años 90 existen leyes de privacidad de la información a nivel nacional basadas en varias directivas europeas de protección de datos y de privacidad en las comunicaciones electrónicas. Las normativas se promulgaron antes de la llegada de Internet y de la nube, por lo que es obvio que el mero avance tecnológico y la era de la conectividad han avanzado de tal manera que han dejado obsoletas las directivas mencionadas. Por no hablar de los escándalos mundiales provocados por el tratamiento de datos personales practicados por las grandes tecnológicas. mundiales.
Consciente de ello, el legislativo europeo ha considerado oportuno reforzar la protección de datos para todos los individuos de la Unión Europea, regular la exportación de datos personales fuera de la UE, armonizar legislaciones anteriores y establecer un conjunto de «derechos digitales» para todas las personas físicas de su ámbito de actuación.
El objetivo principal del GDPR es dotar de un mayor control a los ciudadanos y residentes de sus datos personales, pero también ofrecer a las empresas un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE. Más allá de las exigencias de la normativa, la UE estima que esta normativa ahorrará a las empresas un global de 2.300 millones de euros anuales.
Otro objetivo importante afecta directamente al canal y no es otro que mejorar la confianza en la economía digital emergente para unos usuarios que todavía en buen número están asustados por el tratamiento que algunas empresas realizan de sus datos y con ello, retrasan su incorporación a servicios como el comercio electrónico.
¿A quién afecta GDPR?
La nueva normativa afecta a todas las empresas (grandes o pequeñas) que manejen y utilicen datos de cualquier persona física de la Unión Europea. El reglamento de protección de datos amplía el ámbito de su aplicación a empresas no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE.
Es decir, la regulación se aplica si el controlador de datos (una organización que recolecta datos de residentes de la UE) o el procesador (una organización que procesa datos en nombre del controlador de datos como servicios en la nube) o el interesado (persona) tienen su sede en la UE, además de a cualquier organización con sede fuera de la Unión Europea si recopila o procesa datos personales de los residentes.
El controlador de datos no solo puede ser cualquier empresa, sino cualquier organización con o sin ánimo de lucro o cualquier institución gubernamental. En cuanto al procesador, puede ser una empresa de TI que realice el procesamiento real de los datos. En definitiva, afecta a cualquiera que registre o procese datos de cualquier individuo de la UE.
¿Cómo se cumple el GDPR?
Teniendo en cuenta la exigencia de esta normativa de protección de datos y las elevadas sanciones por infracciones a la norma que pueden alcanzar los 20 millones de euros o el 4% del volumen de ingresos anuales de una empresa, es claro que su cumplimiento debe ser una prioridad para cualquier empresa. Si no lo has hecho ya, un resumen con seis pasos para asegurar el cumplimiento sería:
- Entender el marco legal de GDPR. El primer paso para asegurar el cumplimiento es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas, realizando una auditoría de cumplimiento con el marco legal de GDPR. Parte de esta auditoría de cumplimiento, no importa el tamaño de la compañía, se hace contratando a un técnico de protección de datos para que nos explique las regulaciones y aplicarlas al negocio.
- Crear un registro de datos. Una vez que las empresas tienen una idea más clara de su disposición a cumplir con los requisitos reglamentarios, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos – esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR. Es esta organización la que juzgará si una empresa ha sido compatible con la determinación de posibles sanciones por incumplimiento.
- Clasificar los datos. En este paso se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. En primer lugar, las empresas deben encontrar información personal identificable (PII) – información que pueda identificar a alguien directamente o indirectamente – de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.
- Empezar con la prioridad principal. Una vez que los datos han sido identificados, es importante comenzar a evaluar los datos, incluyendo cómo se están produciendo y protegiendo. Con cualquier dato o aplicación, la primera prioridad debe ser proteger la privacidad del usuario. Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción.
- Evaluar y documentar riesgos y procesos adicionales. Aparte de los datos más sensibles, la siguiente etapa es evaluar y documentar otros riesgos, con el objetivo de averiguar dónde puede ser que el negocio más vulnerable durante otros procesos. Es vital para las empresas mantener un documento de hoja de ruta para mostrar a la DPA cómo y cuándo van a abordar estos riesgos pendientes. Son estas acciones las que muestran a la DPA que el negocio se está tomando el cumplimiento y la protección de datos seriamente.
- Revisar y repetir. El último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.
¿Estamos preparados?
La respuesta rápida es no. Un informe de IDC de comienzos de año, estableció que solo sólo un 10% de las empresas españolas se habían adelantado y estaban preparadas para cumplir las nuevas normas. Solo el 25% aseguraba que tenían previsto un plan sólido de cara al cumplimiento del GDPR y el 5% de directivos «no tenía ni idea» de lo que hacer para adaptarse al reglamento.
Un informe más reciente de la consultora Capgemini, desarrollado a partir de una encuesta realizada entre 1.000 directivos de empresas y 6.000 consumidores en ocho mercados, calcula que aproximadamente el 85% de las empresas europeas y estadounidenses no están preparadas para cumplir la normativa. Además, el 31% de los encuestados aseguraron que los programas puestos en marcha estaban encaminados únicamente a cumplir la normativa y no a sacar partido de ello.
Otro apartado importante lo ha aportado HPE Aruba, advirtiendo que con los sistemas de seguridad que se emplean en la mayoría de ocasiones en las empresas, no se podrá detectar una infracción e informar de ella dentro del periodo de 72 horas que estipula la GDPR como el plazo máximo en el que se debe informar sobre una brecha de seguridad que pueda implicar una violación de datos personales tras su descubrimiento.
Por último, destacar otro estudio realizado por NetApp a más de 1.100 responsables técnicos de empresas que operan a nivel global de Estados Unidos, Alemania, Francia y Reino Unido, un 67% de las organizaciones internacionales se muestra preocupada por no alcanzar la plena adecuación a la normativa dentro del plazo estipulado.
Confirmando todo lo anterior, la entrada en vigor de la GDPR ya se está cobrando a sus primeras “víctimas” con una noticia de alcance: Instapaper suspende su servicio en Europa al no poder cumplir la norma de protección de datos. Comentan que uno de los problemas es que la GDPR no especifica claramente qué información pueden reclamar los usuarios, en qué formato debe ser “empaquetada” y entregada o qué tipo de infraestructura debe ponerse en marcha para gestionar las peticiones de información.
Ese es «solo» uno de los problemas para cumplir una normativa necesaria, pero enormemente compleja, que es de obligada aplicación desde hoy mismo para todo tipo de empresa, grande o pequeña. Aún no es tarde. A pesar del cierto pánico que se percibe entre aquellas empresas que no han llegado a tiempo de adecuarse a los requerimientos del RGPD, la nota positiva es que todo el ecosistema del canal TI ha respondido y desde distribuidores a fabricantes y proveedores de servicios cloud llevan tiempo adecuando sus negocios a la nueva normativa, informando y ayudando a las organizaciones a cumplir con lo que establece.