¿Cómo cumplir con la GDPR?
Por: Fernando Román*
El avance de la digitalización de los negocios implica un mayor reto para las empresas de proteger los datos personales ante amenazas internas y externas que pueden provocar incidentes de seguridad. La Unión Europea es una de las regiones más avanzadas en este tipo de regulaciones y ha desarrollado una ley que tiene un impacto más allá de sus fronteras.
El 25 de mayo entrará en vigor la Regulación General de Protección de Datos (GDPR), la más importante norma sobre la privacidad de datos en 20 años aprobada en la Unión Europea.
GDPR reemplaza a la Directiva de Protección de Datos de 1995 y su aplicación será directa, independiente de las legislaciones locales.
La aplicación global es el principal cambio de esta regulación, esto significa que las empresas que tengan negocios en la Unión Europea y procesen datos personales de ciudadanos de la Comunidad Europea tendrán que cumplir con cada requisito que establece el reglamento, sin importar que tengan sus oficinas centrales fuera de estos países. Dichas empresas deben considerar que existe un conjunto de requisitos clave que menciona el reglamento y a los cuales deben prestar mayor atención a la hora de plantear su estrategia para cumplirlo, entre ellos podemos mencionar:
1. Designación del oficial de protección de datos (DPO), que establezca y revise los controles necesarios para mantener actualizado el ciclo de vida o inventario de datos personales de ciudadanos de la Unión Europea
2. Implementación de medidas de seguridad internas y externas para garantizar la protección de los datos, considerando técnicas como cifrado, anonimización y/o pseudonimización de datos.
- Definición de mecanismos para la atención derechos ARCOP, con la finalidad de responder a titulares que deseen acceder, borrar, corregir, oponerse al procesamiento de sus datos o solicitar la portabilidad de los mismos
- Definición e implementación de mecanismos de monitoreo y atención a brechas de privacidad, así como la comunicación oportuna de las mismas
- Revisiones contractuales con terceras partes y evaluaciones de impactos considerando la protección de los datos, mencionados en el reglamento como Privacy Impact Assessment (PIA) y Data Protection Impact Assessment (DPIA)
- Revisión y tratamiento de datos personales de niños menores, considerando que el consentimiento de las actividades relacionados con dichos datos es otorgado por el tutor del menor.
Adicionalmente y de acuerdo con la regulación, las empresas deben obtener el consentimiento expreso de los usuarios para recolectar, almacenar y manejar sus datos personales. Esto significa que sus políticas de términos y condiciones deberán presentarse de una forma más accesible, en un lenguaje claro y sencillo y con un menor uso de jergas legales. Además, retirar el consentimiento deberá ser tan fácil como darlo.
La Regulación General de Protección de Datos amplía el derecho de los usuarios a saber cómo se están procesando sus datos, en dónde y con qué fin. También contempla el “derecho al olvido”, que obliga a las empresas a borrar los datos personales de quien lo solicite e impida que terceros los sigan procesando. Asimismo, garantiza la portabilidad de datos e introduce el concepto de “Privacidad por diseño” (Privacy by Design) para controlar que se consideren los riesgos de privacidad en el desarrollo o actualización de sistemas o aplicaciones, dicho concepto considera la minimizarían de los datos con la que las empresas deberán retener y controlar sólo los datos que sean absolutamente necesarios para sus funciones.
Por otra parte, el reglamento plantea que las organizaciones deberán notificar a las autoridades sobre incidentes informáticos en los que los datos personales pudieran estar comprometidos en un periodo de 72 horas posteriores al suceso. También deberán informar a los usuarios de estos eventos “sin demora indebida”.
Quienes incumplan con la GDPR pueden hacerse acreedoras a una multa de 20 millones de euros o el equivalente al 4% de sus ingresos (el monto que sea mayor). Si tenemos en cuenta que el costo promedio de un incidente de seguridad de información es de 2 millones de dólares, de acuerdo con el Global State of Information Security Survey (GSISS) 2018 de PwC, no cumplir con la nueva regulación resultará más caro. Además del impacto financiero y regulatorios, es importante considerar el impacto reputacional y operativo que puede causar el incumplir con la regulación.
¿Cómo afectará el GDPR a las empresas en México?
Determinar cuántas empresas serán afectadas por esta regulación es complicado, pero lo cierto es que aquellas empresas de cualquier industria que traten información personal y sensible de personas de la Unión Europea (UE) y que almacenen en México dicha información por cualquier razón, están obligados cumplir con GDPR. El impacto dependerá del tipo de información que las compañías manejen y la forma en que la estén manejando.
Una vez que las empresas hayan identificado que tienen que cumplir con GDPR, deben de tomar en cuenta que dicha ley solicita que se cuente con un inventario detallado de los datos que están tratando, con qué finalidad se están utilizando, a través de qué procesos se está recolectando dicha información, en qué lugar se están almacenando los datos y cómo es que se están protegiendo.
Además de lo anterior, las empresas deben llevar a cabo un análisis de riesgos sobre las actividades de procesamiento de información que recolectan y que pongan en peligro los derechos y libertades de los individuos y desarrollar un plan de acción para mitigar dichos riesgos.
Es importante resaltar que los directivos tendrán un rol más activo en la protección de datos. La ley exige que los Consejos de Administración de las empresas supervisen y autoricen las políticas de Protección de Datos y que los directores generales (CEO) revisen y firmen los análisis de riesgos.
Las funciones del Oficial de Protección de Datos
La nueva Ley simplifica la forma en que se notifica la protección de datos. Actualmente con la legislación europea, las empresas tienen que tratar con las autoridades de protección locales (ADP) que pueden tener requerimientos distintos. En vez de ello, GDPR pide requisitos de internos de mantenimiento de registros y solicitará el nombramiento de un Oficial de Protección de Datos (DPO, por sus siglas en inglés) en las empresas que almacenen grandes cantidades de datos personales, ya sean de empleados o de gente externa a la compañía.
De acuerdo con el Artículo 39 de GDPR, entre las responsabilidades de un DPO están:
· Educar a la empresa y a los empleados sobre los requisitos de cumplimiento
· Capacitar al personal involucrado en el procesamiento de datos
· Realizar auditorías para garantizar el cumplimiento y abordar posibles problemas de forma proactiva
· Servir como punto de contacto entre la empresa y las autoridades supervisoras de GDPR
· Supervisar el rendimiento y proporcionar asesoramiento sobre el impacto de los esfuerzos de protección de datos
· Mantener registros completos de todas las actividades de procesamiento de datos realizadas por la empresa, incluidas todas las actividades de procesamiento, que deben ser públicas
Por otro lado, el DPO deberá estar informado y al tanto de nuevos procesos de negocio a través de los cuales se recolecte información y determinar los riesgos existentes para poder mitigarlos.
Con respecto a quién debe reportar el DPO, puede variar dependiendo de la estructura de la empresa y se sugiere que esta posición sea independiente a las áreas de negocio y de tecnología. Típicamente éste reporta a las direcciones de Legal, Control interno y a los Comités de Privacidad de las empresas.
Ley de Protección de Datos en México
En 2010 se publicó en México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Esta regulación, sin duda, es una base importante para las organizaciones, y aquellas que la hayan abordado de manera integral (procesos, gente y tecnología), tendrán un avance importante y les será más sencillo establecer la estrategia y llevar a cabo las acciones que demanda la europea GDPR.
Sin embargo, esta regulación exige aspectos aún más robustos que no se deben perder de vista, por lo que es indispensable que se realice un análisis de lo que se tiene contra las medidas que exige la GDPR, a fin de evaluar el impacto y esfuerzo que las empresas tendrán que realizar para dar cumplimiento y disminuir el riesgo de violación de datos.
Las empresas no deben pensar que cumplir con la LFPDPPP es suficiente para dar cumplimiento a GDPR. Deben investigar si tienen que cumplir con el GDPR y, en su caso, evaluar objetivamente lo que requieren para alinearse a dicha ley.
*Fernando Román es Socio de Ciberseguridad y Privacidad, PwC México.
