NO INVERTIR EN GDPR, ¿ES UN RIESGO QUE VALE LA PENA TOMAR?


GDPR entra en vigor el próximo 25 mayo de 2018. Las empresas que almacenan o procesan información personal de ciudadanos europeos han tenido dos años para comprender los requisitos y formular una estrategia para su cumplimiento.

Mi experiencia trabajando, en diferentes verticales de la industria, con asuntos regulatorios/normativos me dice que siempre hay tres preguntas clave en el nivel ejecutivo sénior cuando se evalúa el esfuerzo (tiempo y dinero) para invertir en cumplimiento:

  1. ¿Cómo puedo asegurar que mi compañía cumpla con la ley?
  2. ¿Realmente se aplicará (y en la fecha estipulada originalmente)?
  3. ¿Cuál es la probabilidad de que seamos multados?

Estas son preguntas justas. Todas las organizaciones tienen presupuestos limitados, y muchos están siendo presionados por los accionistas, propietarios y juntas directivas para mostrar un retorno positivo por cada euro invertido.

La respuesta a la pregunta de si vale la pena invertir, puede no ser una respuesta que los altos ejecutivos deseen escuchar. A simple vista, GDPR, prevé una implementación con un coste elevado. Requiere un cambio organizacional (incluido el nombramiento de un oficial de protección de datos), afecta los procesos comerciales (cómo se obtiene y registra el consentimiento) y potencialmente más desafiante: requiere que se controle un amplio conjunto de datos que podrían residir en las instalaciones, en la nube o con socios comerciales.

Si la respuesta a la segunda pregunta es “no” o “probablemente no” o la respuesta a la tercera pregunta es “baja”, la decisión de invertir en proyectos que tengan un efecto positivo directo sobre el resultado final, frente a un proyecto de cumplimiento normativo, puede parecer muy tentadora.

Personalmente, mi apuesta es que veremos actividad temprana y regular en términos de investigaciones sobre violaciones de la normativa.

Os dejo tres de las razones que, desde mi punto de vista, apoyan mi apuesta con relación a la aplicación de GDPR:

  1. No existen dependencias

A diferencia de otras regulaciones, no existen excusas para que los reguladores o la industria retrasen el cumplimiento o busquen eliminar requisitos. No estamos esperando guías de implementación, aclaraciones, ni siquiera es necesario esperar a que los organismos reguladores tengan preparados sus sistemas de evaluación de cumplimiento.

Todo lo que es necesario conocer sobre el cumplimiento ha sido publicado y las iniciativas de privacidad de datos no son nuevas. El asesoramiento legal es para ayudar a quienes lo necesitan.

 

  1. Los datos personales están arraigados en los procesos comerciales, lo que los pone en riesgo

La publicación de GDPR en el Diario Oficial Europeo específicamente señala que los avances tecnológicos “permiten tanto a las empresas privadas como a las entidades públicas, hacer uso de los datos personales en una escala sin precedentes para llevar a cabo sus actividades”.

La transformación digital que se está desarrollando ahora en todas las industrias y entidades públicas se basa en datos personales. Cuanto más cerca esté la organización de un individuo, más datos necesitará para ofrecer los servicios y productos personalizados que los individuos esperan.

Mientras las personas sigan compartiendo sus datos personales y vivan en un mundo cada vez más digital, los gobiernos buscarán proteger a sus ciudadanos tanto en línea como en el mundo físico.

No veo elementos de juicio de valor que permitan entender que esta tendencia digital se invierta en el futuro cercano.

  1. Los europeos valoran su privacidad

Las encuestas europeas tienden a mostrar que las personas protegen sus datos personales más de cerca que otras regiones del mundo. Por supuesto, esto difiere hasta cierto punto, por grupo de edad y país, pero la mayoría de los europeos solo comparten sus datos si perciben algún valor a cambio, o de lo contrario, no están dispuestos a compartirlos.

Un Eurobarómetro de 2015 mostró que la mayoría de los encuestados apoyan las normativas generales de GDPR. En resumen, esta no es solo otra pieza de la legislación de la UE pensada por los burócratas, sino que representa ampliamente los deseos de las personas europeas que son cada vez más conscientes de que sus datos se almacenan y utilizan sin su pleno conocimiento del fin último de uso.

Con relación a la evaluación de riesgos, la pregunta que surge es ¿Cuál es la probabilidad de ser Multados?

Esto siempre me ha planteado la difícil tarea de explicar los costes reales de asumir la decisión de no invertir en cumplimiento normativo.

Si bien las multas son bastante desalentadoras (entre 10 y 20 millones de euros o 2-4% de los ingresos anuales, lo que sea mayor): el daño a las marcas que se considera que tratan datos personales sin la gobernanza y seguridad que merece puede ser mucho mayor.

Es de suprema importancias conocer que GDPR también permite la compensación de las personas por encima y más allá de las multas, por lo que las personas pueden estar más inclinadas a presentar una denuncia si hay un beneficio financiero para ellos.

Siendo objetivos, esto último aumenta de forma muy importante el número de investigadores ayudando a las Autoridades de Protección de Datos, estimo unos 511 millones de individuos, población estimada de la Unión Europea en 2017.

Por tanto para evaluar solo el riesgo económico propongo tomar en cuenta lo siguiente:

  1. Existe un potencial de unos 511 millones de investigadores ayudando a hacer público cualquier incumplimiento
  2. El incumplimiento de una ley de protección de datos personales es una situación perfecta para las demandas colectivas
  3. La información se propaga rápidamente por todo el mundo a través de las redes sociales y las agencias de noticias, lo que aumenta el daño de la marca rápidamente y estimula a las personas interesadas.

Finalmente, antes de tomar una decisión sobre la inversión en GDPR, se debe informar a los ejecutivos sobre su exposición y el nivel de control sobre los datos personales dentro de la organización.

La forma más rápida de comprender su riesgo es aprovechar el software para brindar inteligencia de seguridad de datos para responder preguntas tales como:

  • ¿Qué datos personales está procesando y / o almacenando?
  • ¿Cuán expuestos están estos datos a una posible violación?

Más desafiantes, y tal vez más propensos a ser objeto de reclamos legales y multas, son preguntas sobre los procesos de negocio:

  • ¿El uso de datos es consistente con el consentimiento otorgado por el individuo?
  • ¿Puede honrar los derechos que asisten a los sujetos propietarios de los datos?

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *