El nuevo reglamento de la Unión Europea tiene como objetivo aumentar la seguridad de los datos personales de los residentes de este bloque.
El GDPR, Reglamento General de Protección de Datos, (General Data Protection Regulation, GDPR, por su sigla en inglés), es una ley de la Unión Europea que entró en vigor el día 25 de mayo de este año e introdujo nuevas normas acerca de obligaciones, responsabilidades, derechos y restricciones sobre el flujo de datos internacionales.
El reglamento se creó con el objetivo de proteger la privacidad y datos personales de los residentes de la Unión Europea, agregando normas más rígidas, elevando el nivel de seguridad y rendición de cuentas exigido, especialmente para empresas que manipulan datos de esos ciudadanos, estando la empresa geográficamente ubicada o no, en el bloque.
Si una empresa recolecta alguna información en Internet de residentes de la UE, o tiene relaciones con cualquier persona que haga negocios allá, debe seguir las normas del GDPR, lo cual interfiere directamente en negocios de diversos segmentos, los cuales necesitan evaluar sus conductas para adaptarse a sus exigencias.
El nuevo reglamento determina cómo se deben procesar los datos personales de los residentes de la Unión Europea, desde su recolección, grabación y almacenamiento hasta su edición. Por primera vez, empieza una discusión sobre violación de datos en la legislación europea, siendo esta una ruptura de los estándares de ciberseguridad mundial.
Las empresas que no se adapten deberán enfrentar graves multas por falta de conformidad.
¿Cuáles son las reglas principales?
El documento es extenso y presenta el resumen de muchas discusiones que llevaron años para concluirse. No obstante, algunos de los cambios más relevantes son, por ejemplo, plazo de hasta 72 horas para reportar un incidente que involucre datos personales de algún residente europeo, apenas tengan conocimiento sobre el asunto.
Otra exigencia es que las empresas subcontratadas también deben estar en la cadena de suministro, siguiendo las normas, siendo la empresa contratante también responsable por la conformidad de todas las acciones. En consecuencia, puede hacerse necesaria la capacitación de proveedores, así como la validación de las redes del socio e incluso el cambio de empresas por otras que estén en situación regular.
Para utilizar los datos de un usuario, la empresa debe tener, de forma escrita u oral, el consentimiento de uso de los datos de esa persona, incluso antes de que sean procesados.
En este ámbito, el usuario pasa a tener el derecho al olvido, y puede alterar u ocultar parte de su información personal, así como el derecho de retirar el consentimiento otorgado anteriormente. En la práctica, esto significa que la empresa deberá tener un lugar en el que centralice y almacene esa información, la cual deberá estar disponible para que el usuario la edite, cuando sea necesario.
¿Cómo se debe preparar la empresa?
El primer paso es que la empresa cree un comité de gestión, con un líder ejecutivo, el cual guiará el proceso de conformidad con las nuevas reglas. Después, estudiar minuciosamente las reglas del GDPR y hacer un diagnóstico de la empresa para saber si está de conformidad con las exigencias y, si no lo está, averiguar cuáles procesos se deben iniciar y realizar inversiones y cronogramas para estarlo.
Realizar capacitaciones con el equipo interno para tener la certeza de que entendieron el cambio y que no habrá riesgo de acciones que estén fuera del reglamento. Una investigación apunta que una multa por falta de conformidad con el GDPR puede representar hasta un 4% de los ingresos totales de una empresa. ¿Quién se quiere arriesgar?
Lo ideal es buscar también un socio especializado en el reglamento, para ayudar a acortar el camino y reducir riesgos y costos en la implantación de las nuevas reglas de confidencialidad.