Después de GDPR, ¿qué sigue para las compañías de tecnología?
El Reglamento General de Protección de Datos (GDPR, por su sigla en inglés) entró en vigor en mayo de 2018 y fue diseñado para modernizar las leyes que protegen la información personal de las personas. A dos meses de su implementación, expertos de Thomson Reuters revelan que no cabe duda de que la industria de la tecnología es la que se vio más afectada.
Una declaración reciente de Microsoft señala sucintamente el impacto potencial: “Si bien la regulación se aplica a las empresas de todo tipo, gran parte de la carga práctica recae en el sector de la tecnología. Esto se debe en parte a la gran cantidad de información que poseen las empresas en línea, pero también es debido a que, con las tendencias de transformación digital, todas las empresas confían más en los servicios en la nube”.
“Las principales compañías de datos globales deben reconsiderar y reestructurar muchas de sus políticas y procedimientos para cumplir con el GDPR. Sin embargo, el reglamento transformará la forma en que operan las empresas en la industria de la tecnología, principalmente. Cada vez se producen más datos diariamente, y gran parte de ellos son personales, y las compañías tecnológicas los están utilizando, procesando y almacenando por una multitud de razones. Este es solo el comienzo. Podemos esperar más en el horizonte sobre cómo los países y las empresas abordan la privacidad y la seguridad de los datos globales”, Eric W. Sleigh, Desarrollo de Tecnología del Negocio Legal de Thomson Reuters.
| Retos para México |
| A principios de julio, en conversatorio sobre la portabilidad de datos personales organizado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), José Luis Piñar, delegado de protección de datos del Consejo General de la Abogacía Española (CGAE), habló de los retos de la portabilidad ante el nuevo GDPR y las implicaciones de que este derecho incluya en México al sector público. Apuntó que uno de los principales temas a analizar en la transferencia de datos entre sujetos obligados es el papel que juegan los organismos garantes en el proceso. |
Expertos en la industria de la tecnología señalan que cuatro de los requisitos de GDPR son los más difíciles de cumplir:
- Documentación de todos los “datos personales” que la empresa ha procesado o almacenado y que pueden ser eliminados o proporcionados a la persona que lo solicite
- Contratar Oficiales de Protección de Datos (DPO), un gasto significativo y nuevo para muchas compañías
- Identificar e informar infracciones de datos dentro de las 72 horas
- Disposiciones que permiten a los clientes descargar y confiscar sus datos, entregándoselos a un competidor
“El consentimiento será uno de los mayores desafíos del GDPR para las empresas de la industria tecnológica y causará muchos problemas para las empresas que comparten datos, así como para los proveedores de servicios en la nube, que alojan información en centros de datos en nombre de otras compañías. El GDPR establece un estándar alto para el consentimiento, definiéndolo como ‘ofrecer a los individuos una elección y control genuinos’, con la responsabilidad de otorgar el consentimiento a la empresa no solo para solicitar el permiso de un individuo, sino también para mantener registros al respecto”, explica Sleigh, de Thomson Reuters.
Canadá: una comparación útil
Si bien los requisitos existentes y emergentes de los países y regiones varían, y lo harán, Canadá, que tiene una ley similar a GDPR, ofrece una comparación útil, ya que cuenta con un régimen jurídico bien establecido que respalda la privacidad de los datos. Esto proporciona a las organizaciones canadienses un mayor nivel de familiaridad con la privacidad y el cumplimiento normativo. Sin embargo, las diferencias entre los marcos de privacidad de la UE y Canadá proporcionan una idea de lo que las empresas de todo el mundo probablemente enfrentarán en el futuro.
Entre las diferencias operacionales más significativas entre la PIPEDA (Ley de Protección de Información Personal y Documentos Electrónicos, por su sigla en inglés) de Canadá relacionada con la privacidad de datos) y el GDPR, según Pablo Rodríguez, Vicepresidente de Estrategia y Política Comercial para los Negocios Legal y Fiscal de Thomson Reuters, es el consentimiento como base legal para el procesamiento de datos: “El GDPR es más flexible que PIPEDA, ya que permite a las organizaciones recopilar, usar y divulgar información personal basada en motivos específicos, como la ejecución de un contrato o intereses legítimos”.
Otros puntos de comparación por Rodríguez incluyen:
- Tanto PIPEDA como GDPR otorgan a las personas el derecho a acceder a la información personal que las organizaciones tienen sobre ellas. Sin embargo, el GDPR también introduce un derecho a la “portabilidad de datos”.
- GDPR otorga a las personas el derecho al olvido, lo que permite a las personas solicitar a las organizaciones que “borren” la información personal en una serie de circunstancias. Bajo PIPEDA, la obligación de destruir datos está calificada, como lo está bajo el GDPR, para otras obligaciones legales o derechos compensatorios, como el cumplimiento con otra ley de retención de datos.
- En la actualidad, no hay disposiciones obligatorias para el informe de incumplimiento de datos en vigor en PIPEDA, pero se requerirá notificación de incumplimiento a finales de este año, con multas por incumplimiento. Sin embargo, las enmiendas se aprobaron en la Ley de Privacidad Digital de 2015 para abordar los informes de incumplimiento. Las empresas encontrarán que hay una superposición significativa entre las disposiciones de incumplimiento en la Ley de Privacidad Digital y aquellas en el GDPR.
- Las organizaciones canadienses que se preparan para las disposiciones sobre violación de datos en la Ley de Privacidad Digital probablemente encuentren una obligación incremental de cumplimiento bajo GDPR, específicamente, para asegurar que la definición potencialmente más amplia de una violación bajo el GDPR sea capturada en la planificación de respuesta a violaciones, y para asegurar que se informan dentro del marco de tiempo más estricto requerido por el GDPR.
“El trabajo de cumplir con el GDPR ha sido un foco significativo para los profesionales legales, de datos, tecnología y de marketing de muchas corporaciones multinacionales durante el año pasado. Sin embargo, el cumplimiento de los requisitos existentes y la necesidad de mantenerse ágiles a medida que se introducen nuevos requisitos (e interpretaciones) a nivel mundial, serán un trabajo continuo para las empresas en el futuro previsible. A medida que las compañías tecnológicas miran hacia adelante, GDPR proporciona un modelo y marco importante para muchos otros países al abordar la privacidad de los datos, la seguridad de los datos y la recopilación de datos personales”
Eric W. Sleigh,
Desarrollo de Tecnología del Negocio Legal de Thomson Reuters.