La Revolución de la Privacidad
El GDPR reemplaza a la Directiva de Protección de Datos 95/46/CE que fue creada para armonizar las leyes de protección de datos personales en todos los estados miembros de la Unión Europea (“UE”). Debido a los importantes cambios tecnológicos que se han producido desde que se aprobó la Directiva en el año 1995, el GDPR busca preservar la armonización de la UE al tiempo que moderniza las leyes de protección de datos.
Reconociendo que los datos pueden viajar mucho más allá de las fronteras de la UE, el GDPR busca brindar protección a sus ciudadanos sin importar a dónde se dirijan o almacenen sus datos. Esto significa que cualquier empresa, en cualquier lugar del mundo, que tenga una base de datos que incluya información de ciudadanos de la UE está sujeta a sus reglas. Las empresas de todos los tamaños se ven afectadas, desde microempresas hasta multinacionales. Nadie está exento.
Para evitar riesgos relacionados con la aplicación del GDPR muchas empresas han empezado a bloquear por completo el acceso de los usuarios de la UE a sus servicios (una opción casi imposible para una multinacional). Otras, por su parte, han logrado adecuar sus procesos de compliance a tiempo para garantizar el cumplimiento de las obligaciones que impone el GDPR.
Las empresas más afectadas por estas nuevas disposiciones serán aquellas que conservan y procesan grandes cantidades de datos de los consumidores o que sustentan gran parte de sus ingresos en el uso de esos datos: las empresas de tecnología (data mining, big data, fintech, etc.), los especialistas en marketing y los intermediarios de datos que los conectan.
Los modelos comerciales de estos tipos de empresas dependen de la adquisición y explotación de datos de sus usuarios a gran escala. Si las empresas confían en el consentimiento para procesar datos, ese consentimiento ahora debe ser explícito e informado, y debe renovarse si cambia el uso de los datos.
En el año 2016, el valor de la economía de los datos en Europa era de casi 300.000 millones de euros, casi el 2% del PIB de la UE. En 2020, será de 739.000 millones de euros, el 4% del PIB europeo, según datos de la Comisión Europea(*).
A partir del 25 de mayo, las empresas deben identificar todas las formas en que reúnen y almacenan información personal de los ciudadanos de la UE. Eso exigirá una estrecha colaboración entre todas las partes de la organización, desde IT, ventas y marketing, hasta finanzas, seguridad y legal. La GDPR también requiere que cualquier organización que procese regularmente información delicada de la UE designe un Oficial de Protección de Datos para garantizar su cumplimiento. Las empresas afectadas no sólo deben manejar los datos del consumidor cuidadosamente; sino que también deben proporcionar a los consumidores mecanismos que les permita controlar, verificar, modificar y, si lo desea, eliminar cualquier información que les pertenezca.
El GDPR también formalizó el concepto de privacidad por diseño (privacy by design) que algunas empresas venían utilizando, como un requisito legal para que las organizaciones consideren la privacidad de datos desde el inicio y durante el desarrollo de cualquier producto, proceso o servicio nuevo. Para cumplir con ello, las organizaciones deben implementar los principios de privacidad por diseño y privacidad por defecto (la configuración por defecto de los ajustes de datos deben ser los más privados posibles) en todos sus sistemas y procesos.
Otro aspecto muy importante es que desaparece la opción del consentimiento tácito y la aprobación a través de casillas. Los mismos clientes deben expresar de manera libre y explicita su conformidad con el tratamiento de sus datos personales. Además deben tener algún tipo de control que los proteja y que garantice su seguridad para evitar la exposición de datos a través de la biometría, por ejemplo.
También regula el Derecho al olvido. Por lo que permite que los titulares de datos personales puedan solicitar la eliminación de sus propios datos personales de los buscadores de Internet como Google.
En el caso de que ocurra una falla de seguridad, que implique alguna violación de los datos personales, el GDPR introduce el deber de informar a la autoridad de supervisión competente. Esta notificación debe hacerse, cuando sea factible, dentro de las 72 horas desde que se identificó la falla.
Asimismo, si es probable que dicha violación genere un alto riesgo de afectar negativamente los derechos y libertades del titular de los datos personales, también debe informar a esas personas sin demora.
Por último cabe destacar que la GDPR establece sanciones mucho más elevadas que las establecidas por la Directiva anterior. En caso de incumplimiento grave las sanciones pueden alcanzar una multa de hasta 20 millones de euros o el 4% del volumen de la facturación anual global de la compañía, lo que sea mayor. Mientras que para vulneraciones menores, se establecen multas del 2% de la facturación global anual.
Con este nuevo reglamento, la Comunidad Europea intenta devolver el control de sus datos personales a sus ciudadanos dado que, muchas veces, los titulares de los datos personales autorizan su tratamiento sin conocimiento y debido a que los avances tecnológicos y la transformación digital que se dan alrededor del mundo hacen que los datos sean más valiosos que nunca.
El cumplimiento de esta nueva normativa presenta una gran carga para algunas empresas, que pueden no haber tenido previamente herramientas para gestionar todos los datos que poseen sobre un individuo. Deben implementar procesos (y en muchos casos contratar personal) para garantizar que, cuando se manejan los datos, éstos permanezcan protegidos. Sin embargo, también crea nuevas oportunidades de negocio, por lo que es muy importante que las empresas comprendan que esta nueva regulación, centrada en el control ejercido por los usuarios, puede generar beneficios tangibles para ambas partes. Cuando un usuario confía que la empresa va a tratar con seguridad sus datos, es mucho más probable que estos estén dispuestos a compartir sus datos. Por lo que el GDPR puede ser utilizado como un estímulo para asegurar la transparencia en ambos lados.