¿Qué nos espera con el Reglamento Europeo de Datos Personales?

El pasado 5 de mayo por fin se aprobó el Reglamento Europeo de Protección de Datos de Carácter Personal (la conversación en twitter lleva el hastag #GPDR). Tanto hablar del bicho y ya está aquí. ¿Y ahora, qué?

Vamos por partes: el Reglamento tiene 200 páginas, así es que puedo escribir una tesis doctoral, un aburrido artículo legal o algo cortito y directo a la línea de flotación. Pues eso, venga, que no hay tiempo que perder.

¿Qué cambia con el Reglamento Europeo de Datos de Carácter Personal?

Cambian algunas cosas. Dependiendo del país europeo más o menos, en España hay cambios, pero muchísimos menos de los que tienen que afrontar algunos países como Dinamarca o Suecia.

Vamos a tener la misma normativa para toda Europa. A partir de ahora jugamos todos con las mismas reglas (que hasta ahora ésto era un carajal sobre todo para las empresas con negocios en varios países europeos).

Además el Reglamento se aplicará a las empresas que, aunque no sean europeas, dirigen su negocio a Europa. Es decir, que si eres una empresa de Milwaukee, de Zambia o de Macao y tu negocio se dirige a ciudadanos europeos, te toca cumplir y jugar con las mismas reglas que el ecommerce de Burgos. Es una buena noticia para el ecommerce de Burgos. Y para los ciudadanos europeos, claro…

Se refuerzan los derechos de las personas (por ejemplo se pasa a un modelo de consentimiento expreso, se introduce la noción de derecho al olvido y la obligación de informar a los usuarios de la dirección de la Agencia de Protección de Datos)

Hay obligación de informar a las Agencias de Protección de Datos y a los afectados de los “data breaches” en ciertas circunstancias, en un periodo de 72 horas desde que se supo de la brecha de seguridad.

Si los datos y la información que generamos a partir de esos datos son un activo, ¿porqué no empezamos a tratarlos de verdad como tal?

Si no habéis oído hablar de los Privacy Impact Assessment, bienvenidos. A partir de ahora, son obligatorios en aquellos casos en los que el uso de los datos difiera de lo que se venía haciendo o se pasen a emplear técnicas distintas con un potencial impacto. Ojo, son obligatorios en esos casos, pero igual no es una mala costumbre hacer una versión light para todos los casos (nuevos usos de datos, uso de nuevas herramientas, nuevas técnicas analíticas..)

Se introduce también el concepto de datos semi-anónimos (pseudonimized data). A ver, antes teníamos datos personales o datos puramente anónimos (era imposible volver a relacionarlos con nadie en concreto). Esta nueva categoría permite mayor flexibilidad en el uso de datos personales en actividades analíticas. Las condiciones concretas están por ver, imagino que en los próximos meses las diferentes Agencias de Protección de Datos irán publicando whitepapers y demás. ¡Atentos!

Se incluye la figura del Data Protection Officer. Ha habido mucho debate en torno a ella y muchas discusiones y cambios en el artículo que habla de esta figura. Mi recomendación: evaluar si se necesita y, si es así, plantearse seriamente si va a ser interno o externo. Lo digo porque el Reglamento dice claramente que esta figura debe ser independiente (como Auditoría Interna) y para ello debe reportar directamente a las altas instancias y se la debe dotar de recursos suficientes. Intuyo lo que va a pasar: va a haber empresas a gogó que van a ofrecer esos servicios por un precio económico, si pasa algo será la empresa la responsable y no el Data Protection Officer. Ojo, que lo barato igual sale caro.

En otras palabras: que hay que tomárselo en serio. No se dice nada de la formación necesaria pero se insiste en que debe ser alguien con conocimientos suficientes y adecuados en función de la empresa e industria concreta.

¿Cuándo entra en vigor el GPDR?

Las empresas tienen que cumplir con el Reglamento a partir del 25 de mayo de 2018. Ya, ya.. que hay tiempo de sobra. ¡Pues no!

El Reglamento lo que pide es pro-actividad y un cambio de mentalidad, y eso no se cambia dos meses antes, así es que sugiero darle una vuelta desde ya para, por lo menos, tener un plan. El plan debería focalizarse en:

  • Tener las personas adecuadas para la gestión
  • Crear e implementar los procesos necesarios (esto incluye formación y adaptación mental de la gente)
  • Revisar nuestra política a la hora de contratar proveedores y a los que tenemos actualmente. Si ellos fallan el marrón nos lo comemos nosotros, así es que es mejor ponerse exigente o hacer una provisión de fondos para posibles multas, cada uno lo que prefiera.
  • Re-evaluar cómo nos relacionamos con el cliente/usuario y cómo obtener el consentimiento de acuerdo con los nuevos requisitos impactando lo mínimo en la experiencia de usuario.

Para ser sinceros, todo esto es más fácil escribirlo que hacerlo. Yo no lo dejaría para el ultimo día. Por ponerlo a la claras, si los datos y la información que generamos a partir de esos datos son un activo, ¿porqué no empezamos a tratarlos de verdad como tal?

El Reglamento es una obligación, pero también es una magnífica oportunidad. Aprovecharla, o no, está en nuestras manos. Dos años por delante, ¿preparados?

  1. #6
    @makertan

    Estoy feliz porque tras años y años en los que los e-Commerce (y otros muchos agentes digitales) han competido en inferioridad en materia de data respecto a los grandes, puede que este GPDR sirva. Lamentablemente todavía queda ponerse de acuerdo con la ingeniería fiscal, pero eso daría para otro post. La pregunta es: ¿se tomarán en serio todo esto las empresas?

  2. #5
    Alberto M.

    Excelente artículo. La privacidad por diseño es el gran reto a afrontar para las empresas. Entender la privicidad y el "Internet of Things" como parte de un todo, presente en cada fase del negocio. Sin duda, la figura del compliance o del data protection officer, cobrarán una importancia mayor. Se trata de crear, diseñar y desarrollar, bajo conceptos nuevos, acompañando en todas las fases del negocio. En resumen, hacer participe la privacidad del "core business". Saludos,

  3. #4
    David F.

    Muy interesante, ¡gracias!

  4. #3
    Julián López

    Genial artículo que me deja más dudas que respuestas. Y la duda más cercana es, ¿Se aplicaría el GPDR a Inglaterra si finalmente hay Brexit?

  5. #2
    Sara Cazorla

    Yo creo que quiénes crean estas normativas deberían bajar un poco al barro de los pequeños y medianos comercios online, porque claro, está muy bien teenr una figura de compliance, es fantástico el nuevo data protection officer pero, ¿quién paga todo esto? es lo de siempre, una tabla rasa para todos vuelve a darle ventajas a los grandes frente a los pequeños. Aún así reconozco que ya era hora de que a las multinacionales (sobre todo a las americanas) se les pongan las mismas reglas que al resto de agentes en esta materia. Asi que si, el GPDR es buena noticia para la mayoría pero falta adecuarlo más a aquellas empresas que no tienen recursos para implementarlo. Un saludo.

  6. #1
    Esperanza Mateos

    Excelente artículo. Gracias por la información.

Createch540º en tu correo

Createch540º en tu correo

¡No te pierdas ningún contenido!

¡Muchas gracias! Hasta pronto :).

Top