Carpeta de justicia

LawAndTrends



  • Todas las organizaciones (públicas o privadas, independientemente de su tamaño y sector de actividad) que tengan clientes en la Unión Europea o que almacenan o procesan datos de ciudadanos europeos o que utilizan servicios de terceros que lo hagan, están afectadas por el nuevo marco europeo de protección de datos, conocido como General Data Protection Regulation (GDPR, Reglamento UE 2016/679 – Reglamento General de Protección de Datos). Y afecta críticamente a todos los datos personales, cambiando la manera en que las organizaciones enteras interactúan con la información personal identificable, requiriéndoles cambios tanto en la seguridad y el procesamiento como en la documentación exhaustiva que deben mantener. Entró en vigor el pasado 25 de mayo de 2016 con una moratoria de dos años, por lo que deben estar preparadas para el 25 de mayo de 2018, ya que pueden tener multas de hasta el 4% de la facturación general anual o de hasta 20 millones de euros,  y responsabilidad civil ilimitada por el incumplimiento en el uso de datos que puedan afectar moral o materialmente a una persona.

El problema reside en cómo adaptarse a la normativa (con más de 99 reglas y estipulaciones diferentes alrededor de los datos), que no resulta evidente y como de costumbre depende de la interpretación. Según el analista IDC, todavía el 78% de los directores de tecnología de las empresas europeas desconocen el impacto que tendrá en su negocio, y del resto sólo confirman que ya lo cumplen un 20%, por lo que es una tarea urgente para la mayoría de las empresas europeas. Se estima que más del 50% de las organizaciones que tienen que cumplir la normativa  GDPR no estarán preparadas completamente a finales de 2018.

El Reglamento es el cambio más significativo en los derechos fundamentales de privacidad de los datos en 20 años, garantizando que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen.  Recoge  8 derechos fundamentales: derecho a estar informado, derecho al acceso, derecho a la rectificación, derecho al olvido (a ser borrados los datos cuando no sean necesarios para la finalidad con la que fueron recogidos), derecho a restringir el procesamiento,  derecho a la portabilidad de datos, derecho a objetar, y derecho sobre la toma de decisiones y creación de perfiles automáticos.

Las empresas deben adoptar medidas para tener Responsabilidad Activa de esos derechos, no es suficiente la actuación ante una infracción, se debe ser proactivo y ser capaz de demostrar el cumplimiento de las normas y es un proceso de cumplimiento continuo que obliga a pensar y trabajar constantemente dentro del marco legal de la regulación. Tendrán que proteger los datos desde el diseño y por defecto, implementar medidas de seguridad, mantener un registro de tratamientos, conocer el flujo de datos, administrar los datos a medida que cambian con el tiempo, realizar evaluaciones de impacto sobre la protección de datos, nombrar un Delegado de Protección de Datos (DPO) con competencias legales y de infraestructura tecnológica de seguridad (se estima que se requerirán 28.000 DPOs en Europa), notificar cualquier fallo de seguridad en un plazo de 72 horas a la Agencia Española de Protección de Datos, y promocionar códigos de conducta y esquemas de certificación.

Las empresas tendrán que establecer barreras en sus procesos, para que la información sensible se trate atendiendo al propósito de su utilización, con confidencialidad e integridad. La tecnología juega un papel clave para garantizar el cumplimiento legal, y debe satisfacer los requisitos de privacidad (desde su recopilación, su tratamiento… hasta la destrucción) y no solo los requisitos de seguridad.

Los datos se han convertido en un activo competitivo y las empresas recolectan la mayor cantidad posible de datos sobre los consumidores, a veces antes de saber exactamente qué, cómo o cuándo se utilizarán esos datos, provocando desequilibrios entre lo que sabemos y lo que saben de nosotros. Esta práctica de la maximización de los datos cambia con la GDPR hacia el principio de minimización de datos, obligando a que las empresas capten sólo la menor cantidad de datos personales durante el período de tiempo más corto posible y lo eliminen lo más rápidamente posible después de haber completado su propósito específico.

Por lo que también compañías como WhatsApp, Google, Facebook, Linkedin… deben cumplir las leyes de protección de datos de la UE por lo que deberán garantizar la confidencialidad de las conversaciones y metadatos en todo el tiempo, lugar y otros factores de esas conversaciones. Y tendrán que ser capaces de explicar qué hacen con nuestros datos para no enfrentarse a sanciones económicas importantes.

Pedro Robledo

@pedrorobledobpm

Experto en Business Process Management (BPM) y Transformación Digital

Reproducción autorizada por Madrid CodeVer artículo original




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad