GDPR, del compliance a una cultura enfocada en la protección de datos

Es el mayor cambio regulatorio en veinte años sobre protección de datos personales.

Tras el periodo transitorio de adaptación- resulta directamente aplicable el Reglamento Europeo de Protección de Datos. Afecta a todas las compañías europeas pero también a muchas internacionales. Porque el ámbito de aplicación no se establece por el origen de las organizaciones, sino por la procedencia (en este caso europea) de los titulares de los datos. Si la organización capta, almacena o trata datos de ciudadanos europeos para ofrecerles bienes o servicios o controlar su comportamiento, tendrá que someterse a la nueva disciplina que impone el reglamento aunque no esté establecida en la Unión Europea.

'La normativa llega en un momento crítico por el aumento de datos digitales, el uso de los mismos por las empresas y el crecimiento de ciberataques'

La normativa llega en un momento clave. No hay compañía que no esté adoptando una estrategia de datos (lo que se conoce como Data Driven Company) y el volumen de datos personales no para de crecer, a la par que el número y la naturaleza de las ciberamenazas y los ciberataques que, cada vez más, buscan acceder a datos privados para extorsionar luego a las compañías y a sus titulares. Desde 2005, solo en Estados Unidos, se han hecho públicas más de 8.000 brechas de seguridad que han dejado al descubierto unos 10.300 millones de datos, según la enorme base de datos recopilada por la organización norteamericana sin ánimo de lucro Privacy Rights Clearinghouse.

El reglamento trae consigo importantes novedades, ya por todos conocidas. Desde la obligación de notificar las brechas de seguridad al regulador en las siguientes 72 horas de detección de las mismas, pasando por la implantación de multas mucho más elevadas que las actuales en España, la introducción de la figura del Delegado de Protección de Datos (DPO), la necesidad de recabar el consentimiento como declaración o clara acción afirmativa y verificable de los usuarios y la obligación de realizar ejercicios de Privacy Impact Assessments (PIAs) en actividades consideradas de alto riesgo, entre otros. También obliga a cambiar los textos informativos en materia de privacidad que las organizaciones vinieran usando en sus webs, formularios, contratos, etc. Por tanto, es importante que las compañías modifiquen antes del 25 de mayo esos textos, de manera que el look and feel para sus clientes y usuarios sea el de haber llegado a tiempo.

En general, la normat europea introduce toda una batería de estrictas disposiciones – contiene nada menos que 173 consideraciones generales y 99 artículos- para garantizar la captación, almacenamiento, tratamiento y correcto uso de los datos personales recopilados por las organizaciones. Y eso implica la adopción de medidas para garantizar la gestión del consentimiento, el gobierno de la privacidad y la gestión y seguridad de los datos. “Es importante que los textos informativos en materia de protección de datos estén adaptados a tiempo y que las nuevas redacciones reflejen las conclusiones del análisis previo de los tratamientos: qué hago con los datos, a quién se los cedo, con qué base legal, etc.”, señala Ana López Carrascal, Directora en Derecho de Protección de Datos en KPMG Abogados.

' Introduce una batería de estrictas disposiciones para garantizar la captación, almacenamiento, tratamiento y correcto uso de los datos personales recopilados por las organizaciones'

Aunque el reglamento, aprobado en 2016, es de sobra conocido y las organizaciones llevan un tiempo preparándose, no se puede dar el proceso por terminado. Hay compañías, sobre todo las más grandes, que están muy avanzadas. “Muchas se han replanteado el uso de los datos, la proporcionalidad y hasta trabajan en hacer de este cumplimiento normativo un sello distintivo de calidad”, dice Javier Aznar, experto en Ciberseguridad y protección de datos del área de IT de KPMG.

Pero también hay organizaciones, muchas, que llegarán al 25 de mayo con un cumplimiento de mínimos. En todo caso, para todas ha llegado el momento de echar a rodar. “Con el paso del tiempo, la experiencia y las lecciones que se vayan aprendiendo en el rodaje se irán ajustando los complejos engranajes para lograr el equilibrio perfecto entre lo que no debería verse como una contradicción sino como un objetivo indisoluble: ofrecer servicios personalizados y de calidad a los clientes, ayudándose de la analítica de datos, pero siempre con la máxima transparencia en el tratamiento de los mismos, añade Javier Aznar.

La gran complejidad del reglamento es que no afecta a una única área de la organización sino que, de alguna manera, la atraviesa totalmente y requiere un cambio cultural. Exige programas y equipos cross-funcionales trabajando en paralelo a través de múltiples líneas de negocio y geografías. Desde los técnicos en sistemas IT, a los abogados de Compliance, pasando por los responsables de riesgos, de auditoría interna, de marketing y gestión de clientes (CRM)… y, por supuesto, de ciberseguridad. También deberán ir preparándose los departamentos de relación con clientes, inversores y medios de comunicación, que pronto tendrá para lidiar con este tipo de cuestiones.

Desde el punto de vista tecnológico, la principal dificultad es que los cambios que exige el reglamento requieren mayores tiempos de implementación que otras acciones. Poder articular el ejercicio de los derechos de los interesados y su reflejo en los sistemas, aplicaciones y bases de datos es un proceso complejo y que requiere un estudio detallado de la arquitectura de los sistemas y de los flujos de información.

' Las grandes compañías están muy avanzadas, pero hay muchas empresas que llegarán al 25 de mayo con un cumplimiento de mínimos'

Pero no solo hay complejidades tecnológicas. También legales. “Revisar la base legal de todos los tratamientos e incorporar las conclusiones a los textos informativos dirigidos a los interesados (clientes, empleados, etc.). Identificar todos los encargos entre empresas de un grupo y con terceros y ajustar los correspondientes contratos. Formar a los empleados para que conozcan cómo les afecta la norma en su día a día. Cuestiones todas ellas que requieren combinar el conocimiento jurídico con el caso concreto de cada organización y la experiencia en casos similares para ayudar en el diseño y toma de decisiones”, añade Ana López Carrascal.

Además de los cambios mencionados, hay uno, muy relevante, que no está explícitamente escrito en el reglamento. Y es que, más allá de un mero asunto de cumplimiento normativo, que también, su puesta en marcha es un punto de partida para adoptar un nuevo enfoque en la cultura corporativa hacia la protección de datos. “Una cultura en la que la transparencia, los derechos de los ciudadanos y la responsabilidad sea algo automático y natural […], de forma que todo el mundo en la organización valore el derecho de los clientes a su privacidad. Sólo se podrá construir un entorno de confianza si las organizaciones contribuyen, con su transparencia, responsabilidad y principios a que los clientes sean conscientes de la información personal que éstas tienen de ellos y cómo los usan”, recoge un reciente informe de KPMG bajo el título GDPR: privay as a way of life.

El reglamento ya refleja unas pautas muy precisas sobre cómo –y cómo no– deben actuar las organizaciones en todo el ciclo de la vida de los datos personales. Pero es que, además de la normativa, está la creciente sensibilización de los usuarios en torno su privacidad y el valor de los datos. Especialmente tras el escándalo de Facebook. “Es innegable que se está produciendo un incremento en el interés de los individuos por su privacidad, se está pasando de querer estar en todas las redes sociales y compartir y “pagar” con datos a cambio de supuestos servicios gratuitos a preguntarse cada vez más a menudo qué hacen las empresas con nuestros datos, dónde los almacenan o si están realmente protegidos. La transparencia, la información de las finalidades de los tratamientos o el poder ofrecer a los usuarios control en tiempo real sobre estos procesos no son únicamente aspectos de cumplimiento con la regulación, sino una obligación que puede marcar la diferencia”, subraya Javier Aznar.

' Es clave adoptar una nueva cultura corporativa para que todo el mundo en la organización valore el derecho de los clientes a su privacidad '

El reglamento GPDR no es el fin. Es el principio. El punto de partida para empezar a construir un buen gobierno del dato. Una estrategia cuyo horizonte no debería ser otro que convertir la gestión de la privacidad de los datos en una ventaja competitiva. El reglamento debería ser el principio de un camino en el que la reputación de la organización, a los ojos de los clientes y ciudadanos, no acabe viéndose comprometida, sino fortalecida. Y no por el temor a las multas que trae consigo, sino porque realmente esta regulación es percibida como una oportunidad para ir más allá de una mera cuestión de compliance.