GDPR (General Data Protection Regulation), un giro de 180º a la LOPD

Viene con fecha, el 25 de mayo de 2018 tenemos que estar preparados para la entrada en vigor del equivalente a lo que sería la nueva LOPD, pero ampliada para toda Europa y que va a suponer un cambio radical en la forma de relacionarnos con los clientes, de almacenar información y de estar protegidos.

Si has leído la cabecera de este post y te has quedado un poco intranquilo, tienes motivos para ello, porque además, el “no saber” o el desconocimiento del alcance de la ley, no es excusa para librarse de pagar multas millonarias si no se cumple con ella. Pero la lectura positiva de todo esto es que estás a tiempo de prepararte y hacer las cosas bien. Vamos a intentar ayudarte a entender cómo le afecta a tu empresa y qué cosas debes tener en cuenta para que no te pille desprevenido su entrada en vigor.

Todos sabemos que los datos que se almacenan con la información de las personas serán la base de cualquier negocio del futuro, y precisamente por ello y por la velocidad a la que las nuevas tecnologías acceden cada vez de forma más intrusiva a nuestras vidas, es por lo que han ido aumentando las voces de los que pedían a gritos una regulación que protegiera la intimidad y privacidad de los ciudadanos, y el Parlamento y Consejo Europeos se lo han tomado muy en serio y en abril de 2016 aprobaron la citada ley.

Se juntan en la misma coctelera dos de las áreas más complicadas de entender en el mundo empresarial: la legal y la tecnológica. Por ello necesitamos ponernos en manos de profesionales especializados.

Para muchos ya la LOPD de 1999 suponía un quebradero de cabeza, pero la GDPR va, no un paso, sino un salto de gigante más allá y regula, no sólo qué datos de clientes, clientes potenciales, proveedores y empleados se almacenan, sino la forma en la que se hace, se protege y cómo son informados de ello.

LAS GRANDES DIFERENCIAS A LAS QUE PRESTAR ESPECIAL ATENCIÓN ENTRE LA LOPD Y LA GDPR:

• Las sanciones: Los importes entre una y otra no tienen nada que ver, hablamos de un máximo de 600.000 € de penalización en el caso de la LOPD, a 20 millones de € en el caso de la GDPR. Va en relación al tamaño de la compañía y contempla entre un 2% y un 4% de su volumen de negocio global anual. De esta forma evitan que corporaciones con grandes beneficios caigan en la tentación de saltarse la ley de forma flagrante, porque les compense pagar la multa en comparación con el beneficio que consiguen a cambio (cosa que a veces ocurría con la actual regulación).
• Hay que ser proactivos: La ley actual regula la forma en la que tenemos que proteger los datos, imponiendo una serie de medidas estandarizadas en función del tipo de información que se almacena y el uso que se hace de ella. Es decir, viene impuesto lo que tenemos que hacer. Sin embargo, con la entrada en vigor de la GDPR deberemos ser proactivos, porque la responsabilidad de que esos datos estén lo suficientemente protegidos recae sobre la compañía. Dicho de otra forma, si hay un fallo en la seguridad por no haber tomado las medidas suficientes y adecuadas, no habrá excusas que valgan.

• Data Protection Officer: Si bien es cierto que hay algunas compañías que ya han incorporado este perfil porque la necesidad les apremiaba, ahora pasará a ser obligatorio en muchos supuestos, y en otros será muy recomendable. Veremos una demanda creciente en el mercado de este tipo de perfiles.

• Consentimiento: Todos sabemos que cuando queremos algún servicio o producto en internet y hacemos clic sobre “acepto” en las condiciones generales, estamos permitiendo muchas cosas que la mayoría de las veces ni siquiera nos paramos a leer. A partir de ahora el consentimiento, además de inequívoco, deberá ser explícito para el tratamiento de datos sensibles, la utilización del data de cara a contactos automatizados y elaboración de perfiles, y cuando se realicen transferencias internacionales.

• El derecho al olvido: Ya se ha convertido en una realidad la que ha sido una de las cuestiones más polémicas que ha planteado desde siempre el uso de internet y las redes sociales. También se ha recogido el derecho a la portabilidad de los datos de una compañía a otra.

• Datos sensibles: Además de los datos relacionados con la salud, los de tipo étnico o los que recogen creencias religiosas, se incorporan a esta lista los datos genéticos y biométricos.

• Evaluación del impacto de la privacidad (PIA): Todos los negocios que hacen análisis de datos para entender el comportamiento y necesidades de sus clientes y no quedarse fuera de juego, es decir, todas las empresas sin excepción, deberán definir claramente el objetivo de este análisis desde el principio y garantizar que la utilización de esos datos personales cumple con el requisito de minimizar su uso, demostrar que no son excesivos y que verdaderamente son necesarios porque son relevantes para el objetivo que quieren alcanzar. Al incorporar evaluaciones de este tipo lo que se pretende es identificar los riesgos de privacidad a lo largo de todo el proceso y poder corregirlos.

• Privacidad desde el diseño: Realmente se persigue que la ley tenga un enfoque preventivomás que sancionador, por eso estas evaluaciones se incorporan ya desde el diseño.

• Autoridades de control: El papel de supervisión que está llevando a cabo la AEPD (Agencia Española de Protección de Datos) no desaparece, sino que las autoridades locales verán reforzadas sus competencias.

• Menores: La edad mínima en la que un menor puede facilitar sus datos en la red sin la supervisión de un adulto pasa de los 13 a los 16 años. Ha sido mucha la polémica que se ha generado porque, aunque es una realidad que es difícil que un menor entienda el uso que puede hacer una empresa con la información que facilita, también lo es que muchos mienten para conseguir registrarse en los sites que les interesan.

• Las Bases de Datos: Hasta ahora se exigía que estuviesen registradas aquellas BBDD que contenían información de carácter personal, pero quedaba constancia de lo que se hacía con ellas. A partir de la entrada en vigor de la GDPR, deberá existir un registro de las actividades y la gestión que se hace con la información que recogen.

• Vulnerabilidad: Y si finalmente todo falla, y a pesar de poner todas las prevenciones y tomar todas las medidas oportunas sufrimos un ataque, hay obligación de notificarlo al afectado en un plazo máximo de 72 horas.

Para estar listos de cara al próximo 25 de mayo, hará falta ir de la mano de los mejores profesionales para asegurarnos de que hacemos todo bien, y como pasa siempre con estas cosas, una vez que se ha implantado lo que viene después resulta mucho más fácil

Y tú ¿ya estás preparado?… El reloj hace tiempo que se ha puesto en marcha y ya ha empezado la cuenta atrás.