Nuevo Reglamento Europeo de Protección de Datos
Con el GDPR, la Unión Europea quiere dar un mayor control de su información personal a los titulares de la misma. Esta irá desde el nombre hasta el teléfono o la dirección postal, pasando por datos financieros, académicos, laborales, de salud, de creencia religiosa o de raza. Además, ahora, como novedad, también se incluyen datos biométricos y genéticos.
Hay que recordar que en la última década han proliferado servicios como los de Google o Facebook, entre otros muchos, donde los usuarios no pagan por los mismos con euros, sino cediendo sus datos personales. Por eso, ahora la UE quiere devolver la iniciativa a los ciudadanos, que van a ser informados de forma más transparente, verán ampliados sus derechos y sabrán con más detalle qué hacen con sus datos estas compañías y otras que atesoran en sus discos duros y servidores buena parte de su historia más íntima.
[infogram id=»27ec101b-c9c6-444b-9a7d-2193b739ce0d» prefix=»xhP» format=»interactive» title=»»]
En definitiva, el GDPR refuerza la LOPD, que ha sido hasta ahora la ley española que se aplicaba en materia de protección de datos y que en estos momentos es revisada en el Congreso de los Diputados para recoger las novedades de la norma europea. Ojo, GDPR no es una directiva europea que deba esperar a que una norma local la lleve a efecto. Se trata de un reglamento que se aplicará a todos los efectos a partir del 25 de mayo de 2018, se apruebe o no una ley específica en el parlamento español. Y en caso de conflicto entre ambas, siempre prevalecerá la legislación comunitaria.
Las grandes novedades del reglamento GDPR
¿Cuáles son las grandes novedades de GDPR? El reglamento aporta muchas. Una de las más interesantes es el énfasis en el consentimiento. Se pone fin a los textos largos e ilegibles que han sido habituales hasta la fecha, perdidos al final de la página y reproducidos a un cuerpo sólo visible con lupa. En su lugar, los consentimientos serán de fácil acceso y con un lenguaje claro y sencillo.
Además, ese consentimiento debe darse explícitamente y también deberá poder ser retirado por el usuario de forma fácil. “Ya no serán admisibles ni consentimientos tácitos ni genéricos, sino que el titular consentirá el tratamiento de sus datos de forma expresa para finalidades específicas”, explica Jesús Yañez, socio del despacho de abogados Écija. Por su parte, Javier Pérez Bermejo, de Prodware, asegura que “la inmensa mayoría” del consentimiento que se aplica hoy no cumple con la ley. Por lo tanto, tendrán mucho trabajo las compañías en los meses que viene.
[infogram id=»eef1dd51-f9ca-43fc-a3c7-afdc1aec6865″ prefix=»vzj» format=»interactive» title=»¿Conocen las pymes las implicaciones de GDPR?»]
En este punto insiste Jesús Yáñez, de Écija, que recuerda que a partir de mayo los departamentos de marketing van a tener más complicada su tarea, puesto que consentimiento de los clientes para que se use su información no va a ser un poder universal, sino que va a estar limitado a un servicio. Por eso, este experto cree que los sistemas de información deberán estar preparados para una segmentación mucho más fina que la actual.
Además, el GDPR obligará a la portabilidad de los datos de un servicio a otro si el cliente lo pide. De esta manera, Europa responde a una de las demandas más reclamadas por los usuarios de Internet en los últimos años, lo que hará posible que cada uno se pueda llevar sus datos a casa cuando cancele un servicio o trasladarlos cuando cambia de plataforma.
Por otra parte, el GDPR extiende el llamado “privacy by design”, es decir, que cada vez que un usuario adquiera un nuevo producto o servicio, la privacidad que vendrá por defecto será la más estricta, y no la más laxa, como ocurre muchas veces ahora.
Derecho al olvido y comunicación de brechas
También el reglamento europeo pone en primera línea el “derecho al olvido”, facilitando que la información personal se elimine a requerimiento de su titular. Aunque conviene advertir que este derecho estará limitado cuando el interés público de esa información se imponga. Por ejemplo, un político corrupto no podrá pedir que se eliminen las noticias que daban cuenta de sus fechorías porque ahí prevalecerá el derecho a la información del resto de la comunidad.
Un punto importante del nuevo reglamento es que obligará a las empresas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Tendrán que comunicarlas a las autoridades, a los clientes e incluso podrán ser obligadas a difundirlo por los medios de comunicación. Con el GDPR será más difícil que se den casos como el de Yahoo, que reportó brechas de seguridad masivas con años de retraso.
Paralelamente, GDPR amplía la cobertura geográfica de la protección de datos. Y es que no sólo afectará a las empresas europeas o foráneas que procesan datos personales de residentes comunitarios en Europa, sino que también someterá a las que tienen sede fuera del territorio de la UE pero lidian con datos de ciudadanos con residencia en el continente. Ya no valdrá, pues, que el servidor esté en Estados Unidos o en China para que una compañía no tenga que dar cuenta ante las autoridades europeas de cómo protege la información.
Sanciones millonarias
Otro punto clave del nuevo GDPR, y que marca distancias con la anterior LOPD, es el de las sanciones que caerán a los que no cumplan. Y es que las multas podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Esto podría significar, en el caso de las grandes multinacionales, cientos de millones de euros. Hay que recordar que la multa máxima en materia de protección de datos en España está hasta la fecha en 600.000 euros.
Y, por último, el GDPR obliga a todos los organismos públicos y a ciertas empresas que manejan un volumen significativo de datos personales a nombrar un delegado o DPO (Data Protection Officer), que actuará como intermediario entre las autoridades, los clientes y la propia empresa que lo contrata.
[infogram id=»f50cf321-c876-4eab-84c5-e00e76e5ecf0″ prefix=»LYW» format=»interactive» title=»»]
En resumen, Juan Pérez Bermejo, experto de la consultora tecnológica Prodware, cree que el nuevo reglamento dará a todos mayor tranquilidad, porque podremos saber “dónde están nuestros datos personales y qué están haciendo con ellos”. “También creo que se reducirán mucho algunas prácticas abusivas que sufrimos actualmente, especialmente en el ámbito comercial, como el spam y el telemarketing”, añade Pérez Bermejo.
Las empresas no reaccionan por el momento
Queda un poco más de medio año para el aterrizaje definitivo y vinculante del nuevo reglamento de protección de datos, y todos los indicadores dicen que la mayoría de las empresas españolas van retrasadas en su aplicación o ni siquiera se han puesto manos a la obra.
Un estudio encargado este verano por el proveedor de antivirus Sophos aseguraba que un 80% de las pymes desconoce las implicaciones del GDPR. En Europa la situación también es inquietante, con más de la mitad de las compañías afirmando que tienen poco conocimiento de las multas y que no iban a poder cumplir en mayo (el 55%).
En el resto del mundo, predomina cierto desconcierto también. Una reciente encuesta del proveedor de soluciones de seguridad WatchGuard muestra que más de un tercio de las empresas de todo el planeta no saben si deben cumplir con GDPR o no, y por tanto no están tampoco preparadas. Sin embargo, el mandato del reglamento es claro: en cuanto la compañía procese o almacene datos personales de residentes en la UE, está obligada, sin importar dónde se encuentran su sede o sus servidores. Eso obliga a compañías como Facebook, Twitter, Amazon, Alibaba o Rakuten, por ejemplo.
[infogram id=»046f6acc-eda1-4e29-9d7a-1fa88bd59edf» prefix=»osT» format=»interactive» title=»Es la seguridad una prioridad para tu empresa»]
Javier Pérez Bermejo, de Prodware, dice que hasta el pasado verano las compañías estaban “descubriendo” lo que se les venía encima. A partir de ahí, empezó la fase de “preocupación”, sobre todo porque muchos se han dado cuenta de que “no falta tanto” para que llegue el momento de tener todos sus sistemas listos. Y advierte el experto que ahora debe empezar la fase de “trabajo”, para ajustarlo todo.
Por su parte, Jesús Yáñez, de Écija, distingue a la hora de ver los diferentes ritmos de adaptación entre multinacionales y grandes empresas, que son las más acostumbradas por su estructura a la lidiar con estos temas, y las pymes, que todavía no acaban de interesarse.
Pérez Bermejo ha comprobado que muchas compañías están teniendo problemas para identificar el alcance de GDPR. “Me he encontrado empresas que creían que a ellas no les afectaba la ley porque no se dedican a gestionar grandes bases de datos de usuarios finales, sin ser conscientes de que GDPR afecta a algo tan básico como el tratamiento de los datos de tus propios empleados”. Es decir, que cualquier compañía, por pequeña que sea o por raro que sea el sector de actividad donde se encuentra, está obligada a cuidar con más esmero los datos personales que mantiene en sus sistemas.
Qué tiene que hacer una empresa para adaptarse al GDPR
La pregunta que todos los gestores se hacen es: ¿Por dónde empezar para adaptarme al GDPR? Los expertos recomiendan, lo primero, hacer un inventario de la tipología de datos que trata la compañía, su finalidad en cada caso y las obligaciones que deberá cumplir a la luz del reglamento. Es decir, confeccionar un mapa para luego ir actuando sobre él.
A continuación, Jesús Yáñez, de Écija, recomienda volver a redactar las cláusulas de consentimiento con las que los clientes y usuarios autorizan a la compañía a usar sus datos. También conviene revisar los contratos con los prestadores de servicios, por ejemplo con la firma que hace el hosting de aplicaciones o el backup periódico, puesto que, si hay fugas de información, el responsable último de la seguridad de los datos será la empresa con la que el cliente contrata el servicio, y no el proveedor del mismo. Es lo que llaman “responsabilidad activa”.
Las compañías también deberán desplegar la tecnología necesaria para hacer realidad la portabilidad de los datos y para minimizar fugas de información y comunicar al momento las brechas de seguridad. A nivel general, deberán abordar un análisis de riesgos y una auditoría para saber qué cambios, mejoras tecnológicas y procesos deberán adoptar para cumplir con GDPR. Hablamos de tecnologías de cifrado de la información, control de accesos, validación de datos o securización de dispositivos móviles, entre otras.
Y, por último, habrá empresas que, por el volúmen de datos personales que manejan, estarán obligadas a contratar un DPO. Tendrá que ser un profesional que esté familiarizado tanto con aspectos de ciberseguridad como con cuestiones jurídicas. Y no hay muchos profesionales en el mercado con este perfil.
Los certificados no eximirán de responsabilidades
¿Qué deberá tener una empresa para demostrar que a partir del 25 de mayo cumple en materia de protección de datos? ¿Habrá un certificado oficial de cumplimiento? ¿A quién deberá recurrir para ponerse al día? A medio año para la entrada en vigor del reglamento europeo, son muchas las cuestiones que asaltan a los empresarios.
Lo primero que hay que decir es que aunque el GDPR impulse la aparición “sellos” o certificados de calidad, éstos no serán obligatorios y tampoco eximirán de responsabilidades a las empresas. Como explica Javier Pérez Bermejo, de Prodware, certificarse será voluntario y para cumplir la ley no bastará “un papel que dice que cumples, sino cumplirla de verdad”.
Eso sí, es probable que los que se certifiquen consigan una ventaja competitiva en el mercado, pues manda un mensaje claro de que la protección de los datos personales de sus clientes o empleados les importa. Además, Jesús Yáñez recomienda a las empresas hacer auditorías externas o internas, o procesos de revisión de sus sistemas, puesto que GDPR exige demostrar que se está cumpliendo con la ley en todo momento.
El experto de Écija dice que los sellos de calidad también se extenderán a los proveedores de servicios en Internet que las empresas contratan para alojar o procesar sus datos, puesto que una fuga de información en ellos comprometerá directamente ante las autoridades a la compañía que los ha contratado. Para ponerse al día en materia de protección de datos a pocos meses de la entrada en vigor definitiva de GDPR, lo mejor será recurrir a empresas que aúnen conocimiento de la tecnología y también de la ley.
En este sentido, conviene ponerse en contacto con consultoras tecnológicas con un buen departamento legal, con firmas de tecnología que trabajan en colaboración con despachos legales, o con despachos puros de abogados, pero con un buen conocimiento de sistemas de información y de herramientas de ciberseguridad. Loïc Guézo, experto de ciberseguridad del fabricante japonés de antivirus Trend Micro, dice que la adaptación al GDPR será “un gran negocio” sobre todo para las empresas de consultoría, y en menor medida para los proveedores de tecnología.
El ritmo de adaptación dependerá de las multas
¿Qué va a pasar a partir del 25 de mayo de 2018? Nadie lo sabe. Igual que nadie sabía lo que iba a ocurrir el 1 de enero del año 2000 con tantos sistemas informáticos y líneas de código que no hacían constar la centuria en las fechas. Pero, al ritmo que va la adaptación en España al nuevo reglamento de protección de datos, es previsible que muchas empresas, sobre todo las pequeñas, lleguen sin los deberes hechos.
A partir de ahí, los expertos dicen que dependerá de las multas y de su contundencia (conviene recordar que pueden llegar a decenas y cientos de millones de euros en algunos casos) para que se acelere o no el calendario de adaptación. Es decir, que si hay correctivos sonados en el mercado, tanto en cuantía como en la merma de la reputación del infractor, a las empresas no les quedará más remedio que ponerse al día para evitar esos problemas en casa.
Si, por el contrario, la aplicación por parte de las autoridades es más laxa, la presión será menor y los trabajos se demorarán. Loïc Guézo, de Trend Micro, no cree, en cualquier caso, que se impongan unos controles de cumplimiento demasiado duros. Habrá que ver.
Por Juan I. Cabrera