Opinion · kⒶosTICa

Privacidad: Guía para entender qué es GDPR

¿Qué es GDPR?

Su siglas en inglés corresponden a General Data Protection Regulation. Se plasma en el Reglamento 2016/679  y pasa por ser una de las reformas más profundas que ha acometido la Unión Europea (UE) en materia de protección de datos. El objetivo es garantizar la privacidad de la ciudadanía en su día a día en internet, especialmente de cara a no caer víctima de un abuso por parte de las compañías que comercian con nuestros datos personales. Escándalos como el reciente de Facebook parecen recomendar especialmente la adopción de este tipo de medidas.

Por datos personales entendemos toda la información que recopilan los sistemas informáticos de nosotr@s, buena parte de ellas a través de cookies, desde las direcciones IP, a identificaciones personales, o información de salud, económica o cultural.

¿Sólo es para Europa?

Esta protección también afecta a nuestros datos cuando éstos son exportados fuera de la UE. En esencia, tanto el Parlamento Europeo como el Consejo de la Unión Europea y la Comisión Europea intentan devolver el control de sus datos a sus legítimos propietari@s, las personas. Tanto es así que el reglamento aplica a actores que se encuentren fuera de la UE siempre y cuando operen con datos personales de ciudadan@s europe@s.

¿Cuándo entrará en vigor?

El próximo 25 de mayo todas las empresas deberían tener sus sistemas apuntos para cumplir con el reglamento. Ninguna empresa está eximida de su cumplimiento, da igual si es grande o pequeña, de si se dedica a la banca o a la hostelería; tampoco escapa la Administración Pública o las entidades sin ánimo de lucro. En realidad, este reglamento se aprobó el 27 de abril de 2016, por lo que las empresas, aunque les vaya a pillar el toro, han tenido dos años para prepararse. Además, los Gobiernos de cada Estado miembro no tienen que mover un solo dedo, sin que sea necesario legislar, pues el GDPR es vinculante y, por tanto, aplicable.

Se contemplan dos tipos de actores diferentes: por un lado, los llamados controladores de datos, es decir, la empresa que determina cómo y por qué han de ser procesados los datos; ahí es donde entra en juego el segundo tipo de actores, los procesadores que se encargan del procesamiento informático de toda esa información.

¿Cómo hay que ponerse al día?

Especialmente para las organizaciones de menor tamaño, no resulta una tarea sencilla. La farragosa terminología ya es compleja de descifrar por ellas mismas… y éste es un punto esencial para poder iniciar esa puesta a punto a la hora de blindar los datos personales de las personas usuarias.

El primer paso sería tener un dibujo real del panorama de nuestra empresa, algo que no siempre resulta sencillo y para lo que se precisa de consultores externos. Así, es recomendable realizar tanto una Evaluación de Impacto de la Privacidad (PIA) como una Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad.

¿Cuáles son las novedades de cara a l@s usuari@s?

Para empezar, se les acabó a las empresas comerciar con nuestros datos personales sin nuestro consentimiento explícito. No sólo eso, sino que también el derecho al olvido será una realidad, así como la revocación de cualquiera de estos consentimientos explícitos.

Además, en caso de que se produzca una brecha de seguridad o se haya realizado un uso indebido de los datos personales almacenados, las empresas tendrán que comunicárselo a la Agencia Española de Protección de Datos en un plazo máximo de 72 días. Ahora, en cambio, sólo nos enteramos cuando la prensa lo destapa… aunque sea años después y nuestros datos personales hayan estado comprometidos.

¿Está lista la empresa española?

La respuesta es un clamoroso no; ni lo está ahora ni llegará a tiempo para el 25 de mayo. Ya han sido publicados numeros estudios que así lo indican, como el realizado por la firma tecnológica Compuware que revelaba que más de la mitad de las empresas (56%) no cumplen con el reglamento, aunque más de un 70% dice estar muy bien informada. Las sanciones por incumplimiento pueden llegar a ser millonarias en el caso de las grandes compañías, pues contemplan multas de hasta el 4% del volumen de negocios mundial (o 20 millones de dólares, la cantidad que sea más elevada).

¿Por qué es tan compleja la adaptación?

Porque no resulta nada sencillo saber dónde se encuentran los datos personales de cada individuo en un momento concreto. Es preciso tener en cuenta que hay que cubrir todos los los ciclos de vida de los datos, desde su mismo origen hasta su destrucción.

Lo que antes podía resultar fácil, con la llegada del procesamiento masivo de datos (big data) y la explosión en el volumen de información que se vive en las organizaciones, ahora es complejo. Factores como el hecho de que tanto infraestuctura tecnológica como servicios informáticos estén subcontratados con terceros o, incluso, la adopción masiva de la movilidad, suman aún más dificultad. Si, además, se ha producido una fusión o compra de empresas que compartían clientes, el desbarajuste puede ser total con registros de usuari@s duplicados o triplicados.

Y este es sólo el primer paso, porque lo que viene a continuación es el establecimiento de diferentes fórmulas de protección de toda esa información, desde la encriptación, a ‘anonimizar’ todos esos datos personales. Así las cosas, más de una empresa debe de estar lamentando no haber comenzado los deberes dos años atrás.