9/10/2017

El tiempo corre para la protección de datos

Quedan menos de ocho meses hasta el 25 de mayo de 2018, fecha en la que entrará en vigor el Reglamento General de Protección de Datos [RGPD o GDPR en inglés] aprobado por el Parlamento Europeo en 2016 tras cuatro años de elaboración. Por aquello de no acordarse de Santa Bárbara hasta que truena, la mayoría de las empresas europeas aún no han adaptado sus sistemas para cumplir con las obligaciones de un reglamento que – a diferencia de una directiva – no requiere trasposición al derecho de los estados miembros: su entrada en vigor será automática y simultánea en los 28. Incluído el Reino Unido, que está desarrollando una norma propia mientras negocia las condiciones del Brexit.

El RGPD no debería pillar a nadie desprevenido. En realidad, incluye una serie de derechos y obligaciones existentes (otra cosa es que respeten y se sancione su incumplimiento). El reglamento sustituirá la legislación actual, por lo que un requisito previo es que los parlamentos nacionales deroguen sus leyes respectivas. En el caso de España, la LOPD dará paso al RGPD en la fecha establecida.

No es un asunto que pueda esconderse bajo la alfombra. Los infractores podrán ser multados con hasta 20 millones de euros o, lo que para algunos podría ser catastrófico, con el 4% de su cifra de negocios mundial. El RGPD afecta a cualquier empresa que posea datos de ciudadanos de la UE, incluyendo las no comunitarias que tengan operaciones en la UE.

El primer concepto clave es el consentimiento de la persona cuyos datos están en poder de la empresa. Con independencia de cómo los haya obtenido, tienen que pasar por la aceptación expresa de conservación. No mediante esa casilla que los usuarios marcan con desgana en los sitios de Internet, sino un consentimiento específico para cada uso que vaya a hacerse del dato. Que puede ser revocado si el usuario así lo exige, en el plazo de 40 días.

Obviamente, todo esto tendrá implicaciones profundas sobre el modo de almacenar, procesar y analizar los datos, así como de protegerlos contra intrusiones o amenazas cibernéticas. Un dato personal solicitado para, por ejemplo, una compra online, no podrá ser utilizado por el vendedor para ninguna otra relación futura con el individuo concernido. Este tendrá derecho permanente a que se le facilite copia de los datos de que dispone la empresa y a conocer dónde están almacenados. Una vez conocida esa información, podrá ejercer el ´derecho al olvido` que implica el borrado obligatorio de todo rastro de sus datos.

Por razones técnicas y organizativas evidentes, estas obligaciones serán de arduo cumplimiento para las pymes, que carecen de recursos apropiados. Pero a las grandes organizaciones se les planteará un problema de gran magnitud: esos datos que han recogido durante años, suelen estar diseminados y/o duplicados en múltiples ficheros informáticos, bases de datos y ordenadores. Ya sea en sus centros de datos, en los de terceros o en los de proveedores de servicios cloud. Localizarlos, indexarlos y registrarlos, identificar a su legítimo dueño, es ya una tarea muy lejos de haber sido acometida.

Un cambio fundamental derivado del RGPD será la privacidad por diseño, sin los subterfugios que han facilitado irregularidades durante años sin que el regulador – en España la AEPD – tuviera en muchos casos ocasión de intervenir.

Otro efecto del reglamento es que las empresas no podrán ocultar o minimizar sus fallos de seguridad. No sólo deberán notificar a la autoridad cualquier fuga de datos sino que deberán comunicarla personalmente a cada afectado. Al respecto, baste decir que un estudio reciente ha revelado que más del 70% de los clientes cambiarían de banco si sus datos personales cayeran en manos de terceros.

Una estructura de ´gobernanza` del dato no es que se recomiende, sino que será obligatoria. El RGPD no puede ser abordado como un proyecto temporalmente fastidioso pero que se hace de una vez y para siempre. A partir de determinada dimensión de la empresa, impone la existencia de un Delegado de Protección de Datos o Data Protection Officer.

Un estudio de Capgemini sobre banca y seguros en ocho países, entre ellos España, llega a la conclusión de que el 32% de los consultados dice haber hecho progresos en relación a los requisitos del RGPD. Lo sorprendente es que en España la proporción sea del 80%; algo se ha entendido mal, puesto que en Reino Unido es del 41%, en Francia del 23% y en Alemania del 16%. Resulta halagador comprobar que, a nivel mundial, el 21% de las entidades conservan los datos de sus clientes una vez extinguida la relación comercial, mientras que en España el porcentaje es de sólo el 11%.

Otro estudio, avalado en esta caso de Veritas Technology, concluye que muchas empresas en diversas partes del mundo creen erróneamente estar ya preparadas para cumplir con el reglamento. El porcentaje de respuestas es el mismo que en el otro estudio citado (31%), pero cuando se pregunta por los requisitos uno por uno, la mayoría reconoce estar fuera de juego. Afirma Veritas: «de hecho, tras profundizar en las respuestas, hemos encontrado que sólo el 2% está actualmente en condiciones de cumplirlo, revelando un alto grado de incomprensión de la regulación».

Por ejemplo, el 48% de las organizaciones que dicen estar preparadas, no tienen visibilidad suficiente sobre los incidentes de pérdida de datos que pudieran producirse. «Más aún, el 61% del mismo grupo admite que tendría dificultades para identificar y notificar una brecha en las 72 horas siguientes, una de las obligaciones del RGPD». Muchas de las que dicen estar cumpliendo las condiciones, no tienen claro cómo proceder para buscar, encontrar y borrar los datos relacionados con alguien que ejerza el ´derecho al olvido`, y casi una quinta parte (18%) reconoce no disponer de medios para purgar esos datos.

Una circunstancia añadida es la incomprensión generalizada acerca de en quién recae la responsabilidad sobre los datos alojados en entornos cloud. Casi la mitad (el 49% según Veritas) de las compañías están convencidas de que es una responsabilidad exclusiva del proveedor, pero no es así: la empresa debe responder de que su DPO (data protection officer) garantizará el cumplimiento del reglamento.

Naturamente, desde el mismo momento de la aprobación, los departamentos legales y las consultoras han tomado el asunto en sus manos con diversa fortuna a la hora de meter prisa a los CIOs. En cuanto a la industria de servicios de T.I, se ha lanzado de lleno sobre la oportunidad de vender soluciones relacionadas con el cumplimiento del RGPD.

En ciertos extremos, las soluciones propuestas pasan por la «anonimización» de los datos personales, de modo que puedan seguir siendo analizados por los algoritmos en los que se basan muchas prácticas vigentes. El problema que tendría esta fórmula, forzosamente limitada, es que podría exigir cambios adicionales en la infraestructura – no siempre actualizada – que soporta las transacciones.

Ante la ingente masa de datos cuya existencia y paradero se desconoce, se ha sugerido como alternativas la consolidación drástica de bases de datos – que implicaría sacrificar directamente muchos de ellos – o la técnica de data lake, para abstraer los datos de los sistemas de CRM o HCM.

Lo dicho: la clave está en el tiempo. El reloj corre y nadie, que se sepa, ha dado la cara para sugerir una flexibilización del plazo: si así fuera, habría que contar con el Parlamento Europeo, y no está el horno para bollos.

[publicado en La Vanguardia el 8/10]


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons