La aplicación del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea tendrá lugar el próximo 25 de mayo, y supone para la práctica totalidad de las organizaciones una profunda revisión en su manera de gestionar los datos de los ciudadanos europeos. Decimos ‘práctica totalidad’ puesto que deben aplicarlas todas las organizaciones públicas, privadas, ONGs…, independientemente de su tamaño, que almacenen datos de ciudadanos residentes en la UE, incluso aquellas que operen fuera del territorio de la UE.
Es el mayor cambio legislativo europeo en los últimos 20 años; reemplaza a la Directiva de Protección de Datos de 1995, y supera a nuestra ya exigente LOPD.
Más derechos para unos y deberes para otros
Por un lado, mejoran los derechos de privacidad de los ciudadanos y por el otro, aumentan las obligaciones para las empresas.
En el primer apartado, se garantiza el derecho al olvido: los ciudadanos deben otorgar consentimiento claro y expreso para el uso de sus datos, les da derecho a restringir el procesamiento (sólo para los fines para los que fueron cedidos), y concede derechos de portabilidad de datos a otra organización designada por ellos.
En lo referente a las obligaciones para las empresas (nos referimos a instituciones tanto públicas como privadas) el nuevo reglamento impone nuevos códigos de conducta y de transparencia en la gestión de los datos. Concretamente, las empresas están obligadas a notificar brechas de seguridad en un plazo máximo de 72 horas. Deben llevar un exhaustivo registro de tratamiento de datos. Hay que revisar las tecnologías para garantizar la protección de la información, teniendo como objetivo final alcanzar lo que se conoce como “estado del arte” en la gestión.
En definitiva, las organizaciones deben prepararse desde ya mismo para una nueva responsabilidad proactiva, no reactiva. De no hacerlo, se exponen a sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación global. La cifra que resulte mayor de ambas. Y no es tan sólo un riesgo económico directo, sino además un reto reputacional, podríamos estar expuestos a demandas colectivas e incluso a la suspensión del tratamiento de datos por parte del regulador.
En nuestro país, según un estudio publicado por IDC Research España sobre el impacto del GDPR en las empresas españolas en noviembre de 2017, tan sólo un 10% cumple con la normativa, otro 45% iba a gestionarlo en el pasado 2017, un 25% ya disponía de un plan sólido para asegurar el cumplimiento, un 15% estaba a la espera de más información, y un 5% no sabía por dónde empezar.
Los retos generales para el CEO
En primer lugar, diremos que debemos considerar la aplicación del GDPR como una ventaja competitiva o una oportunidad para mejorar la eficiencia del gobierno de la información y su seguridad. Al menos, así lo ve el 36% de nuestras empresas. Como responsable máximo de la organización, usted…
- Debe estar al tanto de las áreas a las que afecta y los requerimientos que supone su aplicación.
- Delegando en su equipo técnico, debe asegurarse de la correcta clasificación de los datos (existe una serie de ellos de categorías especiales como etnia, raza, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud, vida sexual / orientación sexual).
- Hay que formar al personal que dispone de acceso a los datos, estableciendo normas estrictas para la edición y transmisión de los mismos.
- Es necesario prevenir la pérdida accidental, eliminar los datos que ya no cumplan los objetivos para lo que fueron recabados o al menos anonimizarlos para no poder establecer una vinculación directa con los afectados.
- Debe asegurar la designación de un DPO (Data Protection Officer), que será el encargado del cumplimiento, de la cooperación con los reguladores y la comunicación, así como la educación a la empresa en todos sus niveles, desde la dirección hasta el último empleado que tenga acceso a ellos.
Esto último sólo se exige cuando la organización sea una institución pública, cuando se manejen datos a gran escala de forma sistemática, o cuando los datos sean de las categorías especiales antes mencionadas. El resto, según el artículo 37 del reglamento, están exentos de esta figura.
En nuestra siguiente entrega, nos centraremos en las principales áreas de inversión que protagonizarán el escenario de cumplimiento, y en el papel que el Cloud está teniendo ante la aplicación de este nuevo marco legal.