La aplicación del Reglamento General de Protección de Datos (GPDR) está a solo unos meses de distancia. Los medios de comunicación han examinado y escrito intensamente sobre este tema desde prácticamente todos los ángulos desde que se convirtió en legislación, pero las empresas siguen viendo cómo implementar lo que es debido.
WeLiveSecurity habló con el Global Security Evangelist de ESET, Tony Anscombe, para comprender mejor los elementos esenciales del GDPR.
___________________
El GDPR entra en vigencia el 25 de mayo de 2018. ¿Qué esperas que suceda más: las empresas se asegurarán de cumplir o retrasarán el desarrollo de un plan de acción?
Hablando en múltiples conferencias este año, tanto en Europa como en el exterior, he sido testigo del mismo problema en todas partes: las empresas de todo el mundo no están seguras de cómo funcionará el GDPR en la práctica. No comprenden los requisitos en detalle, no saben si todos ellos son aplicables a sus negocios, y no entienden ni los derechos fundamentales de los sujetos de datos, ni el rol que los datos personales jugarán en esta regulación.
Entender todo esto parece crítico para cumplir con los requisitos del GDPR una vez que entre en vigor. Si administras un negocio, ¿son los siete meses restantes suficientes para definir lo que tu empresa necesita hacer para cumplir?
Bueno, puedes hacer mucho en siete meses. La mayoría de las empresas europeas dentro de la Unión Europea (UE) han cumplido con la legislación anterior de Protección de Datos, como la Directiva 95/46/EC, desde 1995. Algunos de los países de la UE implementaron legislación local más allá de esta directiva, añadiendo requisitos adicionales para dar a los ciudadanos protección adicional. Para muchos, se trata de aplicar los mismos principios con mayor precisión para cumplir con los nuevos requisitos que ha agregado el GDPR.
Estar "cerca" de cumplir puede igual resultar en multas de miles, quizás millones, de euros. ¿Qué has visto hacer a las compañías para acelerar su preparación y qué crees que deberían estar haciendo?
"Deben entender que no existe un enfoque general aplicable a todas las empresas"
Primero, recomendaría que cuenten con un profesional de la privacidad que explique los requisitos básicos del GDPR en relación con sus negocios. Deben comprender que no existe un enfoque general aplicable a todas las empresa, pero de igual forma WeLiveSecurity ha preparado anteriormente un listado de consejos para que puedan orientarse.
En particular, deben comprender que la parte crítica de cumplir con los requisitos está basada en qué tipo de datos personales está trabajando la organización, cómo se recopila y procesa la información y, finalmente, dónde y cómo se almacena; todo esto es clave para cumplir con los requisitos. Este es un muy buen punto de partida para los próximos pasos, como la creación de un inventario de datos personales.
Una vez que se haya creado el inventario, los datos deberán categorizarse para todos los tipos de datos que recopile y procese, incluidos los datos que provienen de ciudadanos de la Unión Europea. Es increíblemente importante tener en cuenta que si una empresa que no tiene sede en la UE, por ejemplo, una empresa con sede en Estados Unidos, debe reconocer el requisito de cumplir con el GDPR si está haciendo negocios con ciudadanos de la UE.
Con todas las opciones que nos brindan las compras en línea, por ejemplo, casi todas las empresas que venden a la Unión Europea deben cumplir. Eso hace una larga lista de negocios ¿no?
Sí, tienes razón (risas). Cualquier empresa que vende o proporciona bienes o servicios a ciudadanos europeos y recopila datos debe cumplir. Eso es cierto tanto si tienen una oficina o entidad legal en la UE como si no.
Hay preguntas sobre cómo la UE aplicará o impondrá multas relacionadas con el incumplimiento de las empresas que no se encuentran en la UE, pero estoy seguro de que se moverán rápidamente para hacer ejemplos de empresas que no cumplen para alentar a otros a cumplir.
¿Hay alguna excepción? ¿Puedo vender mis jabones artesanales a personas en la UE sin cumplir?
Sí y no. El GDPR es un requisito para todas las empresas, independientemente de su tamaño. Si estás vendiendo directamente a través de tu propio sitio web, entonces debes cumplir.
Sin embargo, si vendes a través de una tienda en línea general como Amazon y solo le estás entregando bienes a Amazon, que es el responsable de cumplir y enviar el pedido, es posible que no debas cumplirlo. Si una empresa tiene más de 250 empleados o sus transacciones comerciales se basan en el manejo de datos personales, entonces se requiere contratar un oficial de protección de datos.
La multa máxima por incumplimiento es de 20 millones de euros o hasta el 4 por ciento de la facturación global anual de una empresa, que es, para cualquiera, un número elevado.
Si bien esto puede parecer desalentador y las consecuencias del incumplimiento son significativas, se considera poco probable que los reguladores den un ejemplo de las pequeñas empresas que pueden demostrar que tienen un plan y han intentado cumplir plenamente con los requisitos. Es más probable que el regulador trabaje con estas compañías en los pasos adicionales necesarios para lograr el cumplimiento total.
¿Qué más pueden hacer las empresas para asegurarse de que entren en la nueva era de protección de datos personales?
Recomiendo encarecidamente que las empresas contraten los servicios de un profesional de la privacidad y proporcionen capacitación a sus empleados, centrándose en establecer un plan adecuado para almacenar y proteger los datos, y que abarque a toda la empresa. Uno de los requisitos clave es implementar una solución de cifrado con controles de acceso, protegiendo los datos donde quiera que vaya, incluso para los empleados que no se encuentran en las instalaciones principales de las empresas.
¿Todavía estás nervioso por no cumplir con GDPR? No te preocupes, todavía hay tiempo suficiente para demostrar que tu empresa está tomando las medidas correctas para proteger los datos personales y aprender las habilidades básicas necesarias para sobrevivir a la nueva era de la protección de datos.
___________________
Para obtener más información sobre el Reglamento General de Protección de Datos, ESET tiene una página dedicada para ayudarte a asegurarte de tener todo cubierto antes del 25 de mayo de 2018.