En mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR, por sus siglas en inglés), y en mayo de 2018, justo dos años después, será de obligado cumplimiento para todas las empresas y organismos públicos que guardan y procesan datos personales de ciudadanos europeos.
Así, los gigantes estadounidenses de Internet, como Google, Facebook o Amazon, o compañías chinas como Alibaba, tendrán que someterse al reglamento, aunque sus servidores residan en países extracomunitarios. De esta forma, la UE unifica legislación y pone el derecho fundamental a la privacidad a la altura de los tiempos tecnológicos que corren. Algunos dicen que es la mayor revolución en este ámbito en las últimas décadas.
¿Qué derechos contempla GDPR?
Una de las novedades más importantes es la del “consentimiento reforzado”. Es decir, a partir de ahora, las empresas tienen que reducir al mínimo la recogida y retención de datos personales y no procesarlos a menos que de antemano los ciudadanos den un consentimiento expreso para que así sea.
Otra novedad interesante es que obliga a los proveedores de Internet a garantizar la portabilidad de los datos. De esta manera, tendremos derecho a pedir todos nuestros datos en manos de un proveedor y que éste nos los transfiera en un formato legible y fácilmente interpretable por otras aplicaciones. El objetivo es acabar con los clientes cautivos en los servicios online. En teoría, con GDPR deberemos poder trasladar sin problemas, por ejemplo, nuestra información de Facebook a otra red social, y viceversa. Lo mismo ocurrirá cuando queramos llevarnos los datos de un disco duro virtual a otro.
GDPR consagra definitivamente el famoso “derecho al olvido”, favoreciendo que datos personales publicados en Internet y que no tienen trascendencia pública, pero que siguen apareciendo en buscadores y dañando la imagen de las personas, puedan ser eliminados en un breve plazo de tiempo.
Users, tenemos un problema: nos han robado vuestros datos
GDPR también cambia el modus operandi de las empresas cuando detectan brechas de seguridad. Hasta ahora, las compañías ocultaban fugas de datos en sus sistemas para no perder clientes y no ver deteriorada su imagen. Con el nuevo reglamento, todas las compañías tendrán la obligación de poner al tanto de sus brechas a las autoridades (en España la Agencia de Protección de Datos) y a los usuarios o clientes, en definitiva, los propietarios de esos datos. Para hacerlo tendrán un plazo máximo de 72 horas. Además, la Agencia podrá hacerlas públicas. Se acabaron casos como el de Yahoo!, que en febrero de este año informaba de ataques ocurridos en 2015 y 2016.
Para garantizar que el sector público se toma en serio la salvaguarda de datos personales de los ciudadanos que atiende, el reglamento promueve la figura del DPO o data protection officer. También las empresas que traten de forma masiva con datos personales o con información especialmente sensible, como la de salud, estarán obligadas a contar con esta figura, que hará de enlace con las autoridades. En teoría, el DPO, que deberá aunar conocimientos de tecnología y derecho, tendrá un carácter independiente e insobornable y podrá “chivarse” de brechas y problemas de seguridad a las agencia estatales.
Y, si no, una multa puede estar esperando
Pero no quedan ahí las obligaciones. GDPR también establece que las compañías deberán encargar un análisis de riesgos de la información y, en función del mismo, implantar soluciones efectivas de seguridad. Son medidas ya están contempladas en la ISO 27001 y que ahora se extienden a todo tipo de compañías.
Además de la posible comunicación pública de brechas y fugas de información, lo que para compañías como bancos o aseguradoras puede ser letal, GDPR también establece multas bastante elevadas.
En casos extremos, las sanciones a compañías u organismos que no cuiden la privacidad de sus clientes se pueden elevar a 20 millones de euros o el 4% de la facturación global. Teniendo en cuenta sus últimos resultados corporativos, este 4% supondría en el caso de Google un multazo de casi 3.400 millones de euros.
Hay que aclarar que en el caso de una pyme que aloje información de sus clientes en un proveedor de Internet, el responsable último de esos datos será la compañía que contrata el servicio, es decir, la pyme, y el no proveedor. De esta forma, el Reglamento exigirá a las empresas, del tamaño que sean, extremar las precauciones y comprobar que efectivamente su socio tecnológico cumple rigurosamente. Esto, para algunos, podría generalizar la contratación de seguros.
En fin, las empresas y entidades públicas españolas no tienen tiempo que perder. mayo de 2018 está a la vuelta de la esquina y las implicaciones son bastante serias. También tendrán que darse prisa las autoridades de cada país, es decir, las distintas agencias nacionales de protección de datos, para adaptar el reglamento a cada legislación local.
Por Juan I. Cabrera