Cuenta atrás para GDPR – Sí, le atañe; no, no tiene que entrar en pánico
Julia Urío
Information Governance Sales Leader, Analytics, IBM España
¿Su empresa maneja información sensible de ciudadanos de la Unión Europea? ¿Tienen en nómina un “Delegado de Protección de Datos”? Si la respuesta a la primera pregunta es un sí y a la segunda un no, entonces el Reglamento General de Protección de Datos (General Data Protection Regulation – GDPR) probablemente le atañe directamente, y puede no estar suficientemente preparado para su cumplimiento. Está bien. Aún hay tiempo. Aunque no mucho… Pero primero…
¿Qué es GDPR?
La nueva regulación GDPR supone el mayor cambio en dos décadas con respecto a la privacidad de los datos en Europa. Es un reglamento extenso y complejo, que incluye muchas obligaciones y tareas relacionadas con los datos personales de los individuos de la UE (5 Obligaciones Clave del GDPR). El Parlamento Europeo aprobó esta legislación en abril de 2016 y entrará completamente en vigor a partir del 25 de mayo de 2018 –dentro de pocos meses. Si espera que haya un periodo de gracia en el próximo año, está cometiendo un grave error. A todos los efectos, dicho periodo de gracia es ahora.
Sí, le atañe
La UE tiene más de 500 millones de ciudadanos y 20 millones de empresas y negocios activos, y virtualmente cada uno de ellos se verá impactado directamente por el reglamento GDPR. Incluso si no tiene una presencia física en el mercado de la UE, se le requiere su cumplimiento si proporciona cualquier tipo de servicio o bienes, con o sin coste, a sujetos de la UE, o si maneja o trata su información personal, monitoriza su comportamiento, gestiona información de sujetos no ciudadanos de la UE pero que residen en ella, o incluso si trabaja con socios de negocio que operan en la UE.
En definitiva, el cumplimiento de GDPR será muy pronto un requisito imprescindible para hacer negocios de cualquier tipo con sujetos de la UE, y para tratar sus datos.
Sí, puede tener un coste (y muy caro)
El coste del incumplimiento podría ser significativo. Por cada instancia de falta de cumplimento con GDPR, las organizaciones pueden potencialmente enfrentarse a multas de hasta 20 millones de Euros, o el 4% de su facturación anual, lo que sea mayor. Y por supuesto, sobre el coste financiero habría que añadir la posible pérdida de reputación y confianza de sus clientes que dicha falta de cumplimiento le acarrearían.
No entre en pánico. Esto es una oportunidad.
A estas alturas debe estar pensando, “Vaya, no sé nada sobre este tema y estoy bastante seguro de que mi compañía no cumple con este nuevo reglamento”. No está solo. Uno de cada cuatro negocios Europeos no es consciente de la llegada de GDPR. Y si al menos sabe que la nueva regulación GDPR existe (¡buen comienzo!) tampoco está en mucha mejor situación. Solo un 20% de los que están al tanto dicen cumplir ya con el reglamento, un 59% afirman estar trabajando en ello, y el 21% restante indican que no están preparados en absoluto.1
Pero ahora que hemos comentado ya todas las partes más aterradoras, le animo a ver el reglamento GDPR no como una carga o una faena; es una oportunidad para obtener una ventaja competitiva. Al evaluar sus medidas de seguridad y privacidad de los datos, y actualizarlas donde sea preciso, estará en condiciones de incrementar la confianza de sus clientes y tendrá un valioso mensaje comercial frente a sus competidores que no estén preparados para GDPR (eso sin mencionar que además no se verá entrampado con multas…).
Un mejor gobierno del dato significa un mejor conocimiento
No es solo su mejorada reputación y la confianza de sus clientes. Implementar GDPR en su compañía también tendrá como resultado una estrategia de datos más sólida. El cumplimiento típicamente hará que su entorno de datos esté altamente conectado e integrado. Necesitará una linealidad y visibilidad sobre sus datos. Tendrá que ser capaz de mover o eliminar datos de clientes si estos lo solicitan, y además probar que lo ha hecho.
Esto podría sonar desalentador, pero si se implementa correctamente, su nuevo sistema integrado de gobierno del dato puede permitirle conocer más profundamente a sus clientes, e interactuar con ellos en nuevas e innovadoras formas que no estaban a su alcance con anterioridad.
Esto ocurre porque, en general, la nueva regulación requiere que los sujetos tengan la potestad de decidir lo que se puede hacer con sus datos, pero una vez ha obtenido su consentimiento tendrá una mayor flexibilidad para experimentar con la interacción con ellos. Los clientes estarán protegidos debido a su derecho a conceder y retirar el consentimiento, y su organización estará protegida al tener líneas claras de visibilidad sobre todo el conjunto de sus datos, de manera que usted sabrá exactamente qué puede usar o no, y cómo. Puede utilizar esa confianza para explorar nuevas formas de hacer negocios conjuntamente.
Y ahora, ¿qué?
GDPR entra plenamente en vigor en unos meses. Es, probablemente, un lapso escaso, pero aún no es demasiado tarde. Su estrategia de preparación para GDPR necesita abarcar personas, procesos y tecnología. Muchas organizaciones podrán preservar algunos de los procesos que ahora tienen, construyendo sobre ellos para llenar los huecos. Algunos pasos hacia la preparación para cumplir con GDPR serían documentar qué datos personales tienen almacenados, revisar los avisos actuales de privacidad en sus comunicaciones, y si es posible, considerar el nombramiento de un “Delegado de Protección de Datos” que asuma la responsabilidad del cumplimiento del reglamento.
IBM ya ha comenzado a ayudar a sus clientes en su camino hacia GDPR, con una aproximación exhaustiva que abarca el gobierno del dato, la formación y la comunicación al personal, los procesos, los datos y la seguridad (Creación de valor con GDPR: 5 pasos prácticos). No hay una solución única para lograr el cumplimiento que determina GDPR, así que es importante encontrar el socio adecuado que pueda evaluar su estado actual en todos los ámbitos y ayudarle a crear un roadmap detallado hecho a la medida de su empresa.
Hace unas semanas IBM organizó el evento “¿Preparado para GDPR? Una oportunidad para crear valor” para explicar en detalle lo que implica el nuevo reglamento y cómo podemos ayudarle en su preparación para su cumplimiento. Tuve la suerte de participar en el mismo, y le recomiendo acceder a la versión virtual de esta sesión.
Reflexiones finales: los datos como un factor humano
Es fácil hablar sobre los datos únicamente como un recurso de mercado, pero la nueva regulación de protección de datos GDPR nos obliga a contemplar la privacidad de los mismos como algo más cercano al factor humano. ¿Por qué no dejar que GDPR actúe de catalizador de una nueva perspectiva sobre el gobierno del dato que tenga como punto de partida sus clientes? Un sistema de gobierno del dato enfocado al cliente puede hacer de su compañía una maquinaría bien engrasada y orientada al conocimiento que genere negocio repetidamente y con mayor fidelidad. Cuanto mejor gobernado esté su entorno de datos, más fácil será para los científicos de datos accede a los mismos, más completa será la imagen que tenga de sus clientes, y más creatividad podrá tener en sus interacciones con ellos. GDPR no tiene por qué ser aterrador; podría ser justo lo que le ayude a interactuar mejor con los humanos, no solo con los datos.
Si desea más información, puede encontrarla aquí.
1. Alexei Proskura and Mark Child. New Offerings Make MFA and Encryption Accessible to SMEs as Data Protection Challenges European Organizations. Rep. An IDC White Paper Sponsored by ESET, Feb. 2017. Web.
Aviso: los clientes son responsables de garantizar el cumplimiento de las leyes y normativas aplicables, incluyendo el Reglamento General de Protección de Datos de la Unión Europea. Los clientes son los únicos responsables de obtener asesoramiento legal competente referente a la identificación y la interpretación de cualquier ley relevante que pudiera afectar a su negocio, así como cualquier medida que debieran tomar para cumplir con dichas leyes y normativas.
Los productos, servicios y otras funcionalidades descritas en este documento no son los indicados para todas las situaciones del cliente y podrían estar sujetas a disponibilidad. IBM no proporciona asesoramiento legal, de contabilidad ni de auditoría, ni representa ni garantiza que sus servicios o productos son garantía de que los clientes cumplen con las leyes o normativas vigentes.