¿Cómo afecta la nueva ley de protección de datos a las empresas?
Recientemente, el fundador de Facebook, Mark Zuckerberg, declaró que va a aplicar en su empresa los estándares de la nueva normativa de protección de datos que será de aplicación en Europa a partir del 25 de mayo, el reglamento GDPR (General Data Protection Regulation). Pero, ¿qué impacto puede tener esta norma para una empresa tecnológica como Facebook? ¿Y para las demás?
Los problemas con la seguridad de los datos de Facebook son un argumento más en favor de la aplicación de la nueva legislación europea, la más estricta del mundo hasta la fecha para las empresas que gestionan información personal de sus clientes.
En el año 2016, el valor de la economía de los datos en Europa era de casi 300.000 millones de euros, casi el 2% del PIB de la UE. En 2020, será de 739.000 millones de euros, el 4% del PIB europeo, según datos de la Comisión Europea. El número de empresas trabajando con datos también crecerá hasta las 359.050 en 2020 desde las 255.000 en 2016, de acuerdo con el European Data Market.
A partir del 25 de mayo de 2018, con carácter general las empresas que operen en Europa, en cualquier sector y con independencia de su país de origen, siempre que maneje datos personales de clientes, tendrán que ser transparentes sobre su forma de recopilar, guardar y procesar esta información. Un estudio de IAPP y EY estima que las 500 principales compañías del mundo gastarán 7.800 millones de dólares en cumplimiento normativo del GDPR.
Una norma para proteger (más) los datos personales de los clientes
En lo que se refiere a las empresas, GDPR amplía el alcance de la anterior ley europea de protección de datos en tres aspectos cruciales. En primer lugar, en cuanto al consentimiento del titular de los datos que, a partir de ahora, deberá ser explícito, informado y revocable en cualquier momento.
Asimismo, los ciudadanos pueden solicitar todos los datos que una compañía tiene de ellos en un formato adecuado y que el ciudadano puede entregar posteriormente a otra empresa, si lo desea mediante el ejercicio del denominado derecho a la portabilidad de los datos.
Para las empresas acostumbradas a recopilar y tratar grandes cantidades de datos, la nueva norma implica establecer una nueva forma de relacionarse con sus clientes en lo que se refiere a los datos. GDPR requiere que las empresas realicen cambios tan amplios y fundamentales como la forma en que organizan la información. Por ello, algunos de los cambios más inmediatos y visibles pasarán por una redefinición de los Términos de Servicio.
GDPR introduce además dos nuevos conceptos:
- La ‘privacidad por diseño’, es decir desde el diseño de los productos o servicios que se oferten.
- La ‘privacidad por defecto’, de modo que las opciones de protección de los datos deben ser las máximas por defecto.
En segundo lugar, las sanciones de GDPR son severas. Las multas máximas por infracción se establecen en el 4% de la facturación global de una empresa (o 20 millones de dólares, la cantidad que sea mayor).
En tercer lugar, GDPR también establece otra novedad relevante: el principio de responsabilidad activa, más conocido como ‘accountability’ de las empresas, que implica que corresponde a éstas la implantación de procesos internos y recogida de evidencias que demuestren el cumplimiento de la norma.
La aplicación de GDPR en España
A pesar de que GDPR es un reglamento europeo, es decir, de obligado y directo cumplimiento por parte de los estados miembros de la UE, deja la puerta abierta a adaptaciones a las especialidades de la normativa local, para mayor comprensión de los ciudadanos. En España, esto conlleva una nueva Ley Orgánica de Protección de Datos (LOPD), que probablemente no entre en vigor hasta finales de 2018.
Esta nueva LOPD establece las condiciones para que algunos tipos de empresas, como las entidades de crédito por ejemplo, tengan la obligatoriedad de designar la figura del Data Protection Officer (DPO) o delegado de protección de datos. El DPO tiene, entre otras, las funciones de: asesorar a la empresa sobre cómo cumplir con la norma, controlar y supervisar que la organización adopta e implanta las medidas necesarias para garantizar su cumplimiento y relacionarse directamente con los titulares de los datos para cualquier queja o reclamación que interpongan.
BBVA ya cuenta con la figura del DPO, anticipándose a la aplicación de la norma.“Esta norma es un paso adelante en la protección de los datos de los consumidores. En BBVA nos encontramos ya en pleno proceso de implantación”, explica la delegada de Protección de Datos de la entidad, Flora Egea.
Las empresas españolas ya están tomando medidas para prepararse ante la inminente llegada de GDPR. Un estudio reciente del International Data Corporation (IDC), en colaboración con Microsoft, estima que las organizaciones españolas invertirán 140 millones de euros durante 2018 para la adaptación de sus procesos y sistemas, un 44% más que en 2017.