Terceras Home

GDPR: humillación pública para las empresas que hagan mal uso de datos

Publicado por
Héctor García

Este viernes 25 de mayo entra en vigor el Reglamento General de Protección de Datos, mejor conocido como GDPR (General Data Protection Regulation), una nueva normativa aprobada en abril de 2016 por el Parlamento Europeo que tiene el objetivo de proteger los datos personales de los ciudadanos europeos alrededor del mundo.

La aplicación de dicho reglamento se extiende a toda compañía extranjera que sostenga intercambios comerciales con la Unión Europea o que recolecte información de los ciudadanos pertenecientes a la región.

Las reglas son complejas y las multas por incumplimiento pueden rondar hasta los 20 millones de euros (23,440 millones de dólares) o lo equivalente al pago de 4% de los ingresos anuales de la compañía, según las infracciones cometidas.

Sin embargo, las multas millonarias son (o deberían ser) la última de las preocupaciones de las empresas que no cumplan con esta normativa o que no tengan en orden sus bases de datos.

Esta nueva reglamentación establece que si un ciudadano europeo demuestra que una empresa está haciendo mal uso de su información personal, o bien, incumple con los términos de privacidad para el uso de sus datos, se expondrá a la humillación pública por parte de las autoridades europeas.

Esto supone medidas “tremendamente agresivas”, de acuerdo al miembro de la IAPP (International Association for Privacy Professionals), Luis Hernández Ríos, quien asegura que “más allá de las pérdidas millonarias, esto implica la pérdida de la reputación, que en pocas palabras se traduce en ingresos”.

Aunado a este contexto, México no ha sido valorado por la Comisión Europea como un país “seguro” en cuanto a la protección de la privacidad de los usuarios y la seguridad de los datos personales se refiere. Hasta el momento, Argentina, Canadá, Uruguay y Estados Unidos son los únicos países del continente americano que cuentan con esta certificación de privacidad (Privacy Shield Framework).

Esto de acuerdo al documento de Adecuación de la protección de datos personales en países no pertenecientes a la Unión Europea.

La disposición principal del GDPR es regresarle el derecho al ciudadano de decidir si está de acuerdo con que una empresa recoja sus datos para, posteriormente, mandarle información que considere pueda ser de su interés.

De la misma manera, la reglamentación también incluye el derecho al olvido y la portabilidad de datos. Es decir, la opción de los usuarios de borrar completamente sus datos personales de las bases de información de una compañía o ceder a otra el manejo de los mismos, respectivamente.

En caso de experimentar alguna fuga, robo o filtración de información de sus usuarios, este documento establece un margen de 72 horas posteriores, la obligación de las empresas de notificar a las autoridades.

 

Desde la perspectiva nacional, el panorama no es grato

De acuerdo a la encuesta Global State of Information Security Survey (GSISS) realizada por la consultora PwC, sólo el 28.5% de las empresas mexicanas aceptaron estar preparadas para la entrada en vigor del GDPR.

A estas circunstancias se suma el contexto del país, el cual expone que, según la plataforma de e-commerce dedicada a proveer soluciones corporativas a empresas, OFI, 58% de las empresas mexicanas incumple la ley de protección de datos personales sin considerar las consecuencias económicas, legales y fiscales a las que están expuestas.

Esto está directamente relacionado a que “mucha gente no sabe lo que las empresas hacen con sus datos, no estamos acostumbrados a leer avisos de privacidad, y esto ha provocado que las compañías no pongan el cuidado necesario al manejo de los mismos”, asegura Francisco Juárez, gerente de tecnologías de información de OFI.

Pero no todo está perdido.

En 2016 y 2017, PwC reveló en dos diferentes estudios que 49% de las empresas en México confesaba no tener alineados aún sus programas de seguridad y privacidad, ni el conocimiento adecuado para manejar datos personales de clientes, proveedores y/o trabajadores, además de no capacitar a su personal para tal procedimiento y que no tiene planeado invertir en tales temas.

En línea con estos informes, esta nueva documentación puede suponer un parteaguas en México y en el mundo, según el académico de la IAPP.

“El GDPR puede ser un catalizador para mejorar la normativa mexicana. La Ley de Protección de Datos Personales (LFPDPPP), aprobada en 2010, y la nueva reglamentación europea en realidad son muy similares, la principal diferencia radica en que la nuestra protege el tratamiento de los datos, mientras que el GDPR protege la privacidad y tiene como finalidad la protección del usuario”, sostuvo el académico de la IAPP.

¿Qué sigue?

En virtud con las recomendaciones de Veeam México, compañía dedicada a la gestión de datos inteligentes, las empresas e instituciones gubernamentales deben ser capaces de garantizar la seguridad de todos los datos personales que recopilen y procesen.

Tras el escándalo de la consultora política Cambridge Analytica y la filtración de datos de más de 80 millones de usuarios a través de Facebook, el valor de los datos personales ha adquirido un nuevo significado.

Ahora, las empresas tendrán que solicitar (nuevamente y sin condiciones prohibitivas) a los usuarios el permiso de resguardar y procesar sus datos, y de la misma manera tendrán que informarle el uso que se le dará a los mismos.

Soluciones como encriptación informática, firewalls, antivirus, controles de accesos y soluciones antifraude para prevenir el delito empresarial en un 99%, son algunas soluciones de gestión de datos a las que las empresas mexicanas recurrirán próximamente para cumplir con este nuevo reglamento, de acuerdo a comunicados oficiales emitidos por OFI.

Fuente: Forbes

Compartir:
Compartir
Publicado por
Héctor García