Nuestro tiempo se desarrolla bajo un diluvio de datos. Su crecimiento exponencial, la multitud de fuentes de generación y, sobre todo, la seguridad en la gestión y protección de los mismos han llevado a la Unión Europea a legislar fuertemente con el fin de ayudar a generar un marco de confianza, máxime en cuanto a que afectan a los derechos de intimidad y privacidad de las personas.
El nuevo Reglamento General de Protección de Datos -GDPR, según sus siglas en inglés- impondrá a cualquier empresa, europea o no, que maneje datos de ciudadanos europeos, nuevas restricciones en el tratamiento de la información personal.
A partir de la entrada en vigor del Reglamento el próximo mes de mayo, las compañías deberán tener, entre otros asuntos, un especial cuidado con el volumen y el tipo de datos que solicitan en los registros de las páginas web, con la explotación de datos para acciones comerciales, con la cesión de bases a terceros o con el consentimiento explícito e informado a la hora de solicitar permisos para el tratamiento de los datos.
El borrado seguro de datos, la gestión de los datos de dispositivos móviles, la inclusión de datos personales en documentos o archivos empresariales o la controvertida obligación de informar a los afectados con un máximo de 72 horas de retraso, siempre que se haya producido una situación de riesgo potencial en la gestión de sus datos, son algunas de las ampliaciones del Reglamento.
Como se están encargando de destacar las autoridades europeas, el incumplimiento de esta regulación traerá consigo unas sanciones económicas tan elevadas que pueden llegar a poner en peligro la propia existencia de la compañía infractora; tengamos en cuenta que absolutamente todas las organizaciones están obligadas, siendo más restrictivo el Reglamento para las de más de 250 empleados.
La prevención de pérdidas de datos y el software específico para controlarlas y adelantarse, la firma electrónica multidispositivo, los softwares de borrado seguro homologados o, en ocasiones, la reformulación completa de las estrategias de gestión y tratamiento de bases de datos son algunas de las actividades que desde hace pocos meses las organizaciones están acometiendo internamente y apoyadas por proveedores legales y de tecnología.
No obstante, más allá de la fuerte amenaza por los incumplimientos, las organizaciones pueden ver esta obligación, y la aplicación de políticas de transparencia y seguridad, como una oportunidad para construir relaciones de confianza con sus clientes.
Según la Comisión Delegada de la Unión Europea, en la actualidad solo el 15 por ciento de los internautas considera tener el control sobre los datos personales que facilita por Internet. La cifra, realmente alarmante, pone de manifiesto el aumento del recelo de los usuarios a la hora de navegar por Internet y poner sus datos a disposición de terceros. La transparencia a la hora de explicar cómo se gestiona la información a nivel interno, el uso de herramientas fiables de encriptación del contenido y la aplicación del principio de proporcionalidad son algunos de los elementos que incorpora la nueva ley y que tratarán de fomentar ese acercamiento con el consumidor.
En la medida en que la adecuación a GDPR supondrá inevitablemente una inversión en tiempo y dinero, la rentabilización de la misma puede venir de los beneficios que el cumplimiento de la ley supondrá, ya que permite mejorar la eficiencia en el tratamiento de los datos, la reputación y la experiencia del cliente y limita los riesgos relacionados con la pérdida de información.
Diseñar y desplegar una estrategia de seguimiento y análisis del tratamiento de los datos, revisar los diferentes procesos actuales, configurar un equipo multifuncional responsable del proyecto que unifique la gestión de todas las políticas en una sola plataforma, definir qué recursos y tecnologías necesitará la empresa para el cumplimiento y desarrollar un procedimiento específico de respuesta ante posibles incidentes son algunos de los pasos lógicos que las empresas deberían estar ya efectuando, no solo con el fin de garantizar el cumplimiento, sino para convertirse en organizaciones más ágiles y eficientes, dentro del marco actual de la transformación digital.
Como en otras áreas de transformación, el cambio cultural asociado requerirá de una gran labor pedagógica para hacer comprender el alcance real de la nueva legislación. Hoy es el día, y estando tan cerca de la fecha definitiva de entrada en vigor del Reglamento, en que conceptos como el de datos personales se presentan, definen, tratan y cuidan de manera muy difusa. Un nombre o una fotografía, datos de contacto -como un teléfono móvil o una dirección de correo electrónico-, información médica, datos bancarios, mensajes o publicaciones en sitios de redes sociales e incluso la dirección IP de un ordenador son considerados tipos de información que podría utilizarse para identificar de forma directa o indirecta a una persona. Pero no se sabe, como tampoco que la ley no solo se limita a las empresas que operan dentro de las fronteras de la Unión Europea, sino que sus efectos se extienden a todas aquellas organizaciones que tratan y almacenan datos personales de los interesados residentes en la UE, independientemente de su ubicación.
El Reglamento refuerza, sin duda, algunos derechos de los ciudadanos en materia de protección de datos digitales -de acceso, rectificación, cancelación y oposición, entre otros-, reconoce otros nuevos -como el derecho de portabilidad- y blinda frente a los abusos que algunas organizaciones han cometido durante años de manera consciente e inconsciente. Esta perspectiva de trabajo, desde el lado del cedente de datos, en la preparación del cumplimiento del Reglamento, es la recomendada pues, además de protegernos de sanciones, traerá un premio mayor que no es otro que la generación de confianza.
Por José María Sánchez Santa Cecilia, General manager de Prodware Spain.