El 25 de mayo de 2018, algo llamado General Data Protection Regulation (GDPR) entrará en vigor. Eso significa que tu compañía, así como cualquier otra en el mundo, ya debería tener una respuesta a la pregunta "¿cómo nos afectará la nueva ley?". Yo diría que estás jugando con fuego si tu respuesta es "no lo sé" o "no nos afecta porque no somos una compañía europea".
El peligro principal al que te enfrentas es una cuantiosa multa por no complir la regulación. Si bien será implementada por la Comisión Europea, aplica a algunas compañías localizadas fuera de la Unión Europea (UE).
En este artículo te contaré por qué el Reglamento General de Protección de Datos podría tener serias implicancias para tu organización, lo amplio que podría ser su alcance, y cómo puedes prepararte para tener todo como corresponde.
A quiénes impacta el GDPR
La nueva regulación aplica a tu compañía sin importar el país en el que estés basado o desde el que operes, a menos que no recolectes ni proceses información de integrantes del mercado europeo.
solo estás exento si no ofreces bienes o servicios a ciudadanos europeos, ni les creas o monitoreas perfiles
En otras palabras, solo estás exento si no ofreces bienes o servicios a ciudadanos europeos, ni creas o monitoreas perfiles de ellos.
Si realizas alguna de esas actividades, muy probablemente tengas que cumplir la ley. Si tienes dudas, pregúntale al jefe de legales. Si el jefe de legales te responde diciendo "GD ¿qué?", considera nuevos abogados.
En aras de la claridad y el énfasis, permíteme resumir. Es probable que tu empresa deba cumplir con el GDPR si:
- Vigilas el comportamiento de los sujetos de datos que se encuentran en la UE, o
- Estás basado fuera de la UE pero proporcionas servicios o bienes a la UE (incluyendo servicios gratuitos), o
- Tienes un "establecimiento" en la UE, independientemente de dónde proceses datos personales (por ejemplo, procesamiento basado en la nube realizado fuera de la UE para una empresa basada en la UE está sujeto al GDPR).
Evidentemente, se trata de una ampliación considerable del alcance de las protecciones de datos proporcionadas por las leyes europeas anteriores. Y abarca a todas las personas que viven en la UE, no solo a sus ciudadanos. Además, amplía la responsabilidad más allá de la directiva actual para incluir procesadores de datos, así como controladores de datos.
Si necesitas una rápida actualización de vocabulario, hay tres términos clave: sujetos de datos, controladores de datos y procesadores de datos. Por ejemplo, una empresa es un controlador de datos con respecto a los clientes o empleados sobre los que tiene información personal.
En este contexto, los clientes y los empleados son los sujetos de datos: las personas físicas cuyos datos personales están siendo procesados por el controlador de datos. Un ejemplo de procesador de datos sería una empresa a la que las operaciones de nómina son subcontratadas por el empleador en su calidad de controlador de datos.
11 cosas clave que el GDPR hace
- Aumenta la expectativa de privacidad del individuo y la obligación de la organización de seguir las prácticas de ciberseguridad establecidas.
- Establece serias multas por incumplimiento. Una violación flagrante del GDPR, como mala seguridad que conduzca a la exposición pública de información personal sensible, podría resultar en una multa de millones o incluso miles de millones de dólares (hay dos niveles de violaciones y el nivel superior está sujeto a multas de más de 20 millones de euros o el 4% de la utilidad neta de la empresa).
- Impone detallados y exigentes requisitos de notificación de brechas. Tanto las autoridades como los clientes afectados deben ser notificados "sin demora indebida y, cuando sea posible, no más tarde de 72 horas después de haber tenido conocimiento de [la brecha]". Las empresas afectadas en Estados Unidos que están acostumbradas a informar según el proceso de los Estados Unidos deberán ajustar sus políticas y procedimientos de notificación de infracciones para evitar violar el GDPR.
- Requiere que muchas organizaciones designen un oficial de protección de datos (DPO). Tendrás que designar un DPO si tus actividades básicas, ya sea como controlador o procesador de datos, implican "un monitoreo regular y sistemático de los sujetos de datos en gran escala". Para las empresas que ya tienen un director de privacidad, tendría sentido convertirlo en DPO, pero si no hay una posición similar, el rol tendrá que ser creado.
- Refuerza la definición de consentimiento. Los sujetos de datos deben confirmar su consentimiento para que uses sus datos personales a través de una declaración libre, específica, informada e inequívoca o una clara acción afirmativa. En otras palabras: el silencio, los formularios pre-completados o la inactividad ya no constituyen consentimiento.
- Toma una visión amplia de lo que constituye datos personales, que puede incluir cookies, direcciones IP y otros datos de seguimiento.
- Codifica un derecho al olvido para que las personas puedan pedirle a su organización que elimine sus datos personales. Las organizaciones que aún no tienen un proceso para responder a tales solicitudes tendrán que trabajar en eso.
- Proporciona a los sujetos de datos el derecho a recibir datos en un formato común y a pedir que sus datos sean transferidos a otro controlador. Las organizaciones que aún no tienen un proceso para responder a tales solicitudes tendrán que trabajar en eso.
- Deja claro que los controladores de datos son responsables de las acciones de los procesadores de datos que ellos elijan. La relación controlador-procesador debe regirse por un contrato que detalla el tipo de datos involucrados, su propósito, uso, retención, eliminación y medidas de protección de seguridad.
- Aumenta los requisitos de consentimiento de los padres para los niños menores de 16 años.
- Aplica la "privacidad por diseño" como una práctica estándar requerida para todas las actividades que involucren datos personales protegidos. Por ejemplo, en el área de desarrollo de aplicaciones, GDPR implica que "los expertos en seguridad y privacidad deben sentarse con el equipo de marketing para construir los requisitos de negocio y plan de desarrollo para cualquier nueva aplicación para asegurarse de que cumple con la nueva regulación".
Costos y tiempos
Como es de esperar, algunas organizaciones están más avanzadas que otras. En enero de este año PwC encuestó a 200 empresas estadounidenses con más de 500 empleados y encontró que el 92% consideraba el cumplimiento de GDPR una prioridad absoluta en su agenda de privacidad y seguridad de datos en 2017.
algunas organizaciones están más avanzadas que otras en la aplicación de la normativa
Más de la mitad dijo que era la máxima prioridad y el 38% dijo que estaba entre sus principales prioridades. Por supuesto, el cumplimiento no será económico y el 77% de la gente en el estudio de PwC dijo que su organización estaba planeando gastar 1 millón de dólares o más para cumplir este objetivo.
Podrías suponer que las empresas europeas están más avanzadas, pero un estudio reciente IDC Research realizado en nombre de ESET encontró que una cuarta parte (25%) de las 700 empresas europeas encuestadas admitieron que no eran conscientes del GDPR. Además, más de la mitad (52%) no estaban seguras de cuál sería el impacto en sus organizaciones.
Más recursos sobre GDPR
Claramente, hay mucho para lo que prepararse, especialmente si la idea de tener que lidiar con la ley europea de protección de datos es nueva para ti. Estos son algunos recursos adicionales:
- Publicamos una serie de consejos y lineamientos para que prepares a tu empresa
- ESET creó una página dedicada para que compruebes si tu empresa cumple la normativa y cómo avanzar
- Para los puristas de la privacidad y la seguridad que quieran leer el GDPR por sí mismos (como yo lo hice) aquí hay un enlace a la versión final en PDF, con sus 150 páginas completas.
Por último, debo señalar que no soy abogado y no deberías basarte en este o cualquier otro artículo de Internet para asesoramiento jurídico. Deberías consultar a un asesor legal calificado en asuntos relacionados con la interpretación y cumplimiento del GDPR.
Sin embargo, tengo un consejo legal: si presentas el tema al consejo de tu compañía y te responden con algo así como "GDP-qué?" entonces probablemente aún no están calificados adecuadamente (así que diles que sabes de un buen artículo que pueden consultar para aprender más).