GDPR: ¿qué tiene que cumplir tu empresa?

En menos de un año, el panorama europeo en lo que a protección de datos de los ciudadanos se refiere va a cambiar de forma radical. Será en el mes de mayo, cuando finalice el plazo para la entrada en vigor en todos los estados miembros de la UE del nuevo reglamento aprobado por la Comisión Europea: en solo unos meses, todas las empresas del Viejo Continente (o las que deseen operar en él) tendrán que adaptarse al nuevo Reglamento General de Protección de Datos, GDPR por sus siglas en inglés.

El objetivo principal de esta nueva regulación no es otro que devolver a los ciudadanos europeos el poder sobre su propia información personal, convertida ahora en un elemento fundamental de la economía online. Pero no solo la privacidad de los clientes se verá beneficiada con la entrada en vigencia del GDPR: también permitirá a las empresas sacar el máximo provecho de un mercado digital único y generar una mayor confianza entre los consumidores, así como simplificar el entorno con una única regulación.

Las novedades

La principal novedad (o la de mayor impacto) de cara a las empresas tiene que ver con las sanciones que deberán afrontar en caso de infringir la nueva regulación: ahora se podrán imponer multas de hasta 10 millones de euros (o el equivalente al 2 % de los ingresos brutos de la compañía sancionada) por infringir las normas establecidas en el GDPR relativas a la seguridad con la que se custodian los datos. Pero aún hay más, y es que la multa puede alcanzar los 20 millones de euros (o el equivalente al 4% de los ingresos de la entidad) en caso de que la infracción esté relacionada con el consentimiento para la cesión de datos o el traspaso de información confidencial más allá de las fronteras de la Unión Europea.

En cuanto a lo que exige el GDPR a las organizaciones, todo parte de evitar cualquier tipo de riesgo que pueda poner en peligro la información y la privacidad de los clientes. Así, las empresas deberán establecer controles de seguridad con los que blindar los datos y, además, llevar a cabo evaluaciones de impacto periódicas para proteger en todo momento los derechos de los consumidores europeos.

De hecho, con el GDPR, la protección de los datos de los ciudadanos deberá tener un papel tan protagonista que debe tenerse en cuenta desde las primeras etapas del desarrollo de cualquier producto o servicio que requiera recabar información considerada como personal por esta nueva regulación europea.

Precisamente a la hora de recoger la información confidencial de los ciudadanos europeos, las empresas deberán asegurarse de tener el consentimiento de sus clientes una vez estos hayan sido informados. De hecho, se especifica que debe ser obvio y claro para los clientes cuál va a ser el uso que se le darán a sus datos una vez sean registrados por la empresa en cuestión.

Además, se incluye una novedad que podría afectar al funcionamiento habitual de los gigantes de la tecnología (y cualquier otra empresa): se reconoce el derecho al olvido, lo que implica que cualquier ciudadano puede solicitar que sus datos sean eliminados. Si las razones por las que estos fueron recabados ya no existen, la compañía en cuestión no tendrá otra salida que atenerse a la petición del cliente. Así, por ejemplo, sería posible que Facebook eliminara por completo la información de sus usuarios cuando estos dejan de serlo y lo soliciten.

¿Y las empresas?

Más allá de la protección que asegura el GDPR, la nueva regulación sobre la gestión de datos también tiene un aspecto beneficioso para las organizaciones. Más allá de facilitar que en el entorno europeo exista una mayor confianza por parte de los clientes, una de las novedades que recoge la regulación facilitará mucho ciertos procesos.

En concreto, el GDPR estipula que los ciudadanos tendrán la posibilidad de transferir sus datos de un servicio a otro, de una compañía a otra. De esta forma, debería ser mucho más rápido el proceso de alta en las empresas a las que contraten sus servicios. En definitiva, los consumidores tendrán más conocimiento sobre cómo se procesan sus datos y, además, tendrán un mayor acceso a la gestión de su propia información, lo que repercutirá positivamente también en el tejido empresarial.

No obstante, no todo son buenas noticias para las compañías. De hecho, el justificado rigor que exige la nueva regulación en materia de protección de datos y la proactividad que deberán tener a la hora de supervisar el nivel de seguridad de la información de sus clientes afectará a las cuentas de las empresas. Así, será un verdadero reto para las pequeñas y medianas compañías, que deberán invertir parte de su presupuesto a diseñar y evaluar sus propias medidas técnicas.

En cualquier caso, aún quedan unos meses hasta que el GDPR sea una realidad efectiva en territorio europeo. Hasta entonces, las organizaciones deberán ir adaptando sus procesos, sus medidas de seguridad e incluso su propia organización para cumplir con la flamante normativa europea. Cuestiones como el almacenamiento en la nube o el cifrado de datos serán relevantes en los próximos meses de cara a asegurar la información de los clientes como es necesario en este espacio común y único que, por fin, será real en lo que a protección de datos se refiere.

El equipo de NTS

Imágenes de Pixabay y Wikimedia Commons (y 2)