E n diciembre de 2015, los legisladores de la UE alcanzaron un acuerdo sobre el texto de la Regulación General de Protección de Datos, un nuevo conjunto de normas que afectan a toda la UE y que reemplazará a la Directiva de Protección de Datos de 1995. Esta nueva regulación introducirá nuevas obligaciones y responsabilidades para las empresas que manejen datos personales de los europeos.
El incumplimiento de estas obligaciones podría acarrear multas de hasta veinte millones de euros e incluso mayores para empresas muy grandes. Aunque las compañías disponen de algo menos de dos años antes de que la nueva ley entre en vigor, ya necesitan comenzar con los preparativos para asegurarse de que estarán preparadas para cumplir con la regulación.
Uno de los cambios más importantes es que las normas de protección de datos de la UE serán aplicables a casi todas las empresas que manejen datos personales de sujetos de la UE. Independientemente de dónde estén registradas estas compañías, se introducen responsabilidades para los controladores de los datos, así como para los procesadores de los mismos. Debido a la escala de los cambios introducidos y al riesgo de sanciones significativas, todas las empresas que manejen datos personales deberían tomar medidas de precaución.
Sería prudente que revisaran cómo les afecta personalmente y qué pueden hacer para minimizar riesgos. Otros cambios resultantes incluyen unos mayores derechos para los individuos. Los ciudadanos de la UE podrán obtener fácilmente información sobre sus datos personales en lo concerniente a cómo se están procesando y qué uso se les está dando.
También se han incluido provisiones sobre el derecho a objetar y el derecho al olvido. La GDPR introduce los conceptos de "privacidad desde el diseño" y "privacidad por defecto", requiriendo que se considere la protección de los datos incluso desde el momento de los planes iniciales para nuevos proyectos, procedimientos y sistemas.
Los legisladores esperan que algunos de los cambios introducidos reduzcan los costes de las empresas. Se prevé que las complicaciones provocadas por las diferencias entre los distintos regímenes de protección de datos nacionales disminuirán, incorporando una singularidad de normas a lo largo de Europa. Igualmente, se espera que permita que las empresas solo tengan que tratar con una única autoridad de protección de datos, independientemente de la localización geográfica de los sujetos. Solo con esta idea, la Comisión Europea estima que se reducirán los costes para las organizaciones en 2.300 millones de euros al año.
Sin embargo, aunque la GDPR traerá nuevos beneficios por medio de la introducción de normas comunes a toda la UE, no ha sido tan bien recibida como se esperaba. Las preocupaciones e intereses nacionales afloraron durante la negociación y dieron lugar a unas cuantas situaciones en las que se permitirá a los Estados Miembros de la UE desviarse de las normas. Tales preocupaciones se componen de los costes derivados de asegurar el cumplimiento y de las muchas preguntas que han surgido en relación a cómo estas normas deberían ser interpretadas.
La Comisión Europea y las autoridades de protección de datos se han comprometido a preparar una guía detallada para las empresas y organizaciones a lo largo del próximo año para darles mayor seguridad sobre lo que necesitan hacer. Las empresas que manejen datos personales deberían estar muy atentas a la elaboración de esta guía. Para aquellas empresas que no cumplan con los nuevos requisitos, los riesgos son elevados. Además de los riesgos de reputación asociados a cualquier fuga de datos o a medidas de protección de datos débiles, y el impacto que cualquier acción privada derivada de ello pueda tener, hay que tener en cuenta las posibles multas.
La GDPR permite a las autoridades de protección de datos imponer multas de hasta 20 millones de euros o el 4% de su facturación anual mundial, según qué cifra sea mayor.
Por lo tanto, las empresas necesitarán demostrar que pueden cumplir con la nueva regulación. Deberían utilizar robustos sistemas de protección de datos para asegurarse de que están mitigando estos riesgos. Soluciones como el entorno operativo de almacenamiento Data ONTAP agrupado por NetApp se puede usar tanto en la nube como en infraestructuras in situ (on-premise) para crear un único sistema Data Fabric. Esto significa que los datos pueden ser controlados y gestionados más fácilmente, haciendo, por tanto, que el cumplimiento de la regulación sea más sencillo para los proveedores de servicios en la nube y para las empresas que los utilizan.
