El Reglamento general de protección de datos europeo: más que una moda

El Reglamento general de protección de datos, adoptado por la Comisión Europea a principios de este año, entrará en vigor a partir de mayo de 2018. La nueva legislación modificará la directiva europea sobre protección de datos de 1995 y sentará las bases para la protección de los datos personales.

La forma en que se definen los datos personales es un aspecto importante de la nueva ley. El nuevo Reglamento general de protección de datos describe los datos personales como datos que permiten la identificación de un individuo, ya sea de forma directa o indirecta. Es una definición bastante amplia y prevemos que se ampliará aún más con el tiempo. Más en concreto, esta definición implica que la nueva ley también abarca las direcciones IP, los datos de ubicación u otros factores que permitan identificar a una persona.

La definición de “datos personales” contenida en la ley supone un buen indicio del tono de la nueva legislación, en virtud de la cual los datos se consideran un activo valioso y la regulación al respecto se vuelve más restrictiva. No es una coincidencia que este Reglamento vaya de la mano de tendencias tecnológicas tales como la computación en la nube, las redes sociales, las tecnologías móviles y el Internet de las cosas, que están ocasionando que la recopilación de datos y su adecuado análisis se conviertan en diferenciadores estratégicos. En este sentido, la legislación europea está poniéndose al día con la realidad.

4 elementos de cambio

Si la legislación preexistente sentaba las bases para la protección de datos, el Reglamento general de protección de datos pretende construir un sólido edificio sobre ellas. En los últimos años, se han producido varios avances en la privacidad de los datos (en especial, la anulación del acuerdo de puerto seguro) que han generado una gran expectación en torno al Reglamento general de protección de datos. La consecuencia es que muchas organizaciones están seriamente preocupadas sobre la nueva legislación, pero lo cierto es que no hay ningún motivo para ello, afirma Kalliopi Spyridaki, el director de estrategias de privacidad para Europa de SAS: “Actualmente, las normas son más estrictas, pero los principios básicos son los mismos que hemos tenido durante muchos años. En ese sentido, el Reglamento general de protección de datos está más orientado a la revisión de los procedimientos de cumplimiento normativo y, posteriormente, a la creación de algo desde cero”.

No obstante, Spyridaki destaca 4 elementos de gran importancia que están cambiando con la introducción del Reglamento general de protección de datos:

1. Mayor aplicación de la ley

Con este nuevo reglamento, la aplicación de la ley se vuelve más estricta. Las autoridades competentes en la protección de datos dispondrán de más recursos y se aglutinarán en un nuevo organismo paneuropeo cuyos dictámenes serán vinculantes. Además, las multas serán tan elevadas (hasta el 4 % del volumen de negocio anual total de una organización) que el Reglamento general de protección de datos ha puesto en guardia automáticamente a las organizaciones de todos los sectores. “De hecho, en Europa solo encontramos multas de un nivel comparable en el derecho de la competencia. El miedo a las multas no debería ser el principal motivo para cumplir las normas, pero indudablemente ahora es un motivo al que hay que prestar atención. Mientras que hace 5 años la privacidad de los datos no era una de las 10 preocupaciones principales relativas al cumplimiento de la ley, actualmente se encuentra en cabeza de la agenda del cumplimiento
normativo”, afirma Spyridaki.

2. Gran responsabilidad

El Reglamento general de protección de datos obliga a las organizaciones a rendir cuentas de la protección de los datos personales. Deberán aportar pruebas de que protegen los datos personales, de cómo lo hacen y de lo bien que lo hacen. Actualmente, se ha implantado un proceso bastante formal para la obtención de autorización para el procesamiento datos: ¿qué tipo de datos procesas? ¿Los transfieres a terceros? En el futuro, la atención se concentrará más en comprobar que los procesos empresariales estén organizados correctamente, en lugar de en obtener una autorización formal. Al respecto, resultará útil disponer de alguien (ya sea interna o externamente) que conozca bien la privacidad de los datos y sepa cómo realizar cambios y aplicar la ley.

3. Protección de la intimidad desde el diseño

El primer paso que deberán dar todas las organizaciones será un ejercicio de asignación del flujo de datos en el que participe toda la organización, ya que la protección de la intimidad desde el diseño exige que todos los departamentos examinen sus datos y la forma en que los manejan. En cuanto hayas identificado dónde se encuentran tus datos personales y lo que haces exactamente con ellos, deberás protegerlos adecuadamente. “Examinar sus datos desde el punto de vista de la privacidad de los datos, desde el desarrollo de productos hasta el cliente final, pasando por toda la cadena de suministro, constituye la esencia de la nueva ley de privacidad de los datos. La mayoría de las empresas ya tienen implantado un sistema para poder identificar los datos personales, ya que ya debían cumplir la ley de protección de datos preexistente. La nueva ley obliga a las organizaciones a entrar más en detalle, pero por fortuna, hay muchas soluciones que pueden respaldar este proceso de revisión. SAS está en una posición aventajada para ayudar a nuestros clientes a identificar y gestionar los flujos de datos con el fin de hacer posible el cumplimiento del Reglamento general de protección de datos”.

La protección de la intimidad desde el diseño también presupone una mayor transparencia sobre los datos y las transferencias de datos. Además, probablemente ya se habrá enterado de la patata caliente del nuevo reglamento: el derecho al olvido. Esto nos lleva al cuarto gran factor de cambio en el ámbito de la privacidad de los datos: una clara atención en el cliente.

4. Anteposición del individuo

El nuevo reglamento de protección de datos prima al individuo al situar al cliente en el centro de la protección de datos. Por ejemplo, el derecho a la portabilidad de los datos prevé que, cuando los clientes deseen cambiar de proveedor de correo, deberían poder trasladar todos sus datos al nuevo proveedor. Actualmente, los consumidores ya pueden solicitar que se elimine su información personal, pero el Reglamento general de protección de datos mejora dicha eliminación con lo que se conoce como “el derecho al olvido”. “No obstante, más allá del cumplimiento, el mayor revulsivo será el cambio de actitud por parte de las organizaciones con respecto a la privacidad. La privacidad se está convirtiendo en una consideración empresarial. Será un componente clave para transmitir confianza a los clientes cliente y conseguir una ventaja competitiva, ya que los clientes valoran positivamente la privacidad. También aprecian que los procesos para hacer valer sus derechos sean sencillos y transparentes”, comenta Spyridaki.

Adopción de la innovación

Junto con la renovación de las normas relativas a la protección de datos, se están introduciendo en el mercado agentes innovadores. Por ejemplo, Hoxton Analytics, un sistema cuenta-personas de próxima generación que ayuda a los comercios a conocer a sus clientes sin registrar datos personales. Su solución crea un suelo inteligente que recopila imágenes del calzado de la gente que pasa. Estas imágenes se combinan con varias capas de aprendizaje automático e inteligencia artificial, lo que significa que el sistema cuenta personas de forma automática. Y lo que es aún más sorprendente: también puede categorizar de forma inteligente los datos demográficos de la gente a partir del calzado que llevan puesto y su forma de andar.

Junto con la renovación de las normas relativas a la protección de datos, se están introduciendo en el mercado agentes innovadores.

Spyridaki afirma lo siguiente: “La digitalización del mundo tiene un poder transformador y estoy convencido de que seguiremos presenciando más innovaciones sobre los datos y la privacidad. Por lo tanto, también seremos testigos de la introducción de más normas para ayudar a que la población se sienta cómoda con las innovaciones relacionadas con los datos. La protección de los datos y la privacidad se encuentran actualmente en un período de transición. Si se compara el sector de los datos con otro más tradicional como, por ejemplo, los servicios financieros, queda bastante claro que el mercado de los datos está infrarregulado porque en cierto modo es un mercado emergente. Se tardará unos cuantos años, pero al final, el sector de los datos también será mercado maduro y regulado”.

Europa se encuentra a la vanguardia de la legislación sobre la privacidad, pero otros países también se encuentran a un nivel comparable (por ejemplo, Canadá o Australia) o están dando saltos de gigante en el ámbito de la regulación de los datos. “Transferir datos a jurisdicciones con un nivel adecuado de protección de datos resulta mucho más sencillo. Hemos observado una tendencia en las economías emergentes, sobre todo en Asia y Latinoamérica, que valora la economía de los datos de imitar el nuevo Reglamento general de protección de datos. Ahora bien, dentro de la propia Unión Europea, el Reglamento general de protección de datos también aportará una mayor transparencia y dará lugar a reglas más armonizadas, ya que actualmente, la directiva sobre protección de datos es distinta entre los Estados miembro de la UE. Al final, esta armonización será positiva para los negocios”, concluye Spyridaki.

Share this article with your network:

Read more about ”Optimize Fraud Detection, Security & Risk”