Profundiza en el GDPR. Retos y oportunidades para las empresas

El nuevo Reglamento General de Protección de Datos (también llamado RGPD o, en inglés, GDPR) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. Hace unos meses publicamos un post con los puntos clave de esta normativa pero hoy te proponemos ir más allá para descubrir qué está poniendo nervioso a más de un marketer.

GDPR

El Reglamento se aplicará como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados que, aunque no tengan su sede en la UE, den servicios o bienes destinados a ciudadanos de la unión europea. Un ejemplo de ello serían páginas como AliExpress o Alibaba, páginas chinas para comprar desde Europa. En estos casos, será necesario nombrar un representante en la Unión Europea, conocido como Data Protection Officer (DPO), que coordinará la política de protección de datos y actuará como punto de contacto con las autoridades.

El objetivo del GDPR es proteger a todos los ciudadanos de la UE en cuestión de privacidad y ante posibles brechas de seguridad, en un mundo cada vez más basado en datos, muy diferente al existente en el momento en que se estableció la Directiva Comunitaria  95/46 (en adelante Directiva), en la que se basa la regulación actual de protección de datos.

Aquí tienes algunas de sus características básicas:

Una sola norma para todos: Unificación de criterios

Es importante saber que el GDPR es una norma directamente aplicable para todos los Estados Miembros de la Unión Europea, es decir, no requiere de normas nacionales como sucedió con la Directiva, que obligó a España a crear nuestra actual Ley Orgánica de Protección de Datos (LOPD). Por ello, todos debemos asumir que la norma de referencia es el GDPR y no las normas nacionales. Señalar que la ley española que sustituirá a la actual LOPD, de la cual ya existe borrador, sí podrá incluir algunas precisiones o desarrollos en materias en las que el GDPR lo permita.

Hasta ahora, y debido a que las normativas de protección de datos no estaban unificadas y su aplicación era a nivel nacional, era necesario tener replicados procesos y recursos en los países donde la organización estuviera prestando servicios. Este nuevo reglamento, además de unificar criterios, habilitará un nuevo mecanismo “One stop shop” o más conocido como ventanilla única. De esta manera, una empresa europea, por ejemplo española con sedes en otros países de la Unión Europea, solo tendrá que tratar con la autoridad de protección de datos española o con la del estado miembro donde se encuentre su matriz, pudiéndose conseguir un ahorro considerable.

¿Qué es el registro de actividades internas? ¿O el principio de responsabilidad activa?

Hasta la fecha, era necesario dar de alta los ficheros de la compañía  ante la Agencia Española de Protección de Datos (AEPD). No obstante, con el GDPR, esta obligatoriedad actual quedará sustituida por la necesidad de contar con un registro de actividades interno. Por lo tanto, se experimentará una mejora desde el punto de vista burocrático, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes.

Como avisa la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, esta normativa “supone un cambio de mentalidad con respecto al actual marco vigente, al apostar por el principio de la responsabilidad activa de las organizaciones que tratan datos”.

Por lo tanto, en relación a este principio de “responsabilidad activa” o “accountability”, no sólo tendremos que actuar de forma correcta, sino que deberemos de articular todas las pruebas y mecanismos para parecerlo. Aunque no está expuesto de forma explícita, se deduce de algunos artículos, puesto que será obligatorio en el momento de recoger la información del usuario, incluir la base legal sobre la que se desarrolla el tratamiento (porqué, para qué, cuándo, cómo, etc), así como especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento.

¿Cómo actuar si se produce una brecha de seguridad?

Entre otras cosas, el GDPR también impone a las empresas informar sobre  las violaciones de seguridad que sufran. En la actualidad, la LOPD y  la Ley General de Telecomunicaciones (LGT) obliga a los operadoras de servicios de comunicaciones electrónicas y a los proveedores de acceso a Internet o ISP a notificar las brechas o fugas de seguridad que afecten a datos personales. Pero, como consecuencia de la aplicación del nuevo Reglamento, esta obligación afectará a todos los responsables del tratamientos de datos personales imponiendo la  obligatoriedad de notificar éstas tanto a las Autoridades de Control como a los usuarios o afectados.

Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente, en un plazo máximo de 72 horas.

Retos y oportunidades del GDPR

Pero el GDPR también representa un gran reto y oportunidad para las empresas, puesto que será necesario realizar un inventario completo de los datos que se están guardando, siendo positivo para:

  • Detectar datos de valor: los avances tecnológicos y el aumento de la capacidad de recoger y guardar información ha llevado a las empresas a almacenar gran cantidad de datos. Pero gran parte de estos datos no tienen ningún valor de negocio, aunque sí generan costes de infraestructura. Revisar qué datos tenemos y comprobar cuáles necesitamos realmente y cuáles son prescindibles se traducirá de inmediato en una importante reducción de costes en la mayoría de los casos.
  • Aprovechar el valor de los datos: acumular un gran volumen de datos hace que muchas veces sea complejo centrar la atención en la información realmente útil que se esconde entre los mismos. Llevar a cabo un proceso de limpieza y organización de datos facilitará la identificación del valor de los datos que sean realmente útiles.
  • Acabar con silos de información: será necesario unificar la información a nivel de usuario dentro de todo el ecosistema digital, acabando así con los silos de información tan comunes en las organizaciones. Esto generará además mejor conocimiento de los usuarios, facilitando por otro lado las comunicaciones one-to-one con los usuarios y personalizando la experiencia que éstos tienen con las empresas.

¿Estás preparado para el GDPR?

El alcance y los requisitos del GDPR son exigentes y complejos, así que es importante prepararse para poder garantizar su cumplimiento. La implementación de las medidas necesarias requiere un gran esfuerzo, implicación y proactividad por parte de las organizaciones, siendo necesario tener un programa defendible para el cumplimiento y para demostrar que se está actuando de manera adecuada.

En el marco de lo anterior, toda organización debería de plantearse algunas preguntas:

  • ¿Hemos definido una hoja de ruta para el cumplimiento del GDPR?
  • ¿Hemos identificado la necesidad de un DPO según lo requiere el GDPR? En caso necesario, ¿se ha nombrado un DPO? ¿va a ser interno o externo?
  • ¿Tenemos visibilidad y control sobre qué datos personales recopilamos? ¿Cómo lo usamos? ¿Con quién lo compartimos?
  • ¿Existe un seguimiento y control de todos los datos existentes en mi ecosistema relacionados con los usuarios?
  • ¿Existen procesos que garanticen la unificación de datos de un mismo usuario en todos los sistemas de la empresa para su posible modificación / eliminación?
  • ¿Estamos preparados para proporcionar evidencia del cumplimiento del GDPR a las autoridades competentes. ¿Qué pueden solicitarnos?
  • ¿Tenemos un plan probado de respuesta a la obligación de hacer pública cualquier brecha de seguridad en un plazo de 72 horas, de acuerdo con lo requerido por GDPR?

¿Quieres saber más sobre el GDPR? Déjanos tus dudas y te las respondemos.

Este artículo ha contado con la participación de Daniel Solís, Data Protection Officer (DPO) de HAVAS Group.

Paz es especialista en marketing y analítica digital con una sólida formación en el área de consultoría IT. Ha gestionado proyectos en diferentes sectores combinando su know how en IT con la estrategia de negocio para ofrecer las soluciones más eficaces para sus clientes a través de herramientas personalizadas.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *