¿Cómo afectará la nueva ley de protección de datos a la empresa?
La semana pasada la Comisión Europea presenta una propuesta de Ley que busca modernizar la Directiva de Protección de Datos de 1995 con el fin de garantizar el derecho a la privacidad en el futuro.
Todos los días empresas, autoridades públicas y usuarios transfieren datos entre los estados miembros de la Unión Europea, sin que exista una legislación común, lo que no sólo genera preocupación entre los usuarios, que sienten que no controlan sus datos, sino entre las empresas, que deben estar atentas a los cambios en la legislación de los 27 países miembros.
Una única ley acabará con la fragmentación actual y los costosos trámites administrativos entre fronteras, lo que permitirá ahorros de cerca de 2.300 millones de euros anuales.
La nueva propuesta quiere dar cumplimiento a los dos sectores, por un lado que los usuarios tengan un mayor control sobre sus datos, y por otro que las empresas puedan enfrentarse a un mercado único con una legislación única. Pero serán las empresas y organizaciones quienes más sentirán el peso de la ley, y no sólo porque hay multas para quienes no la cumplan, sino porque tendrán que tener un férreo control sobre los datos de los usuarios y al mismo tiempo ser lo suficientemente flexibles como para hacer cambios cuando la persona lo exija.
Lo primero que debe tenerse en cuenta es que un dato personal puede ser muchas cosas, no sólo un nombre, una foto, una dirección de correo, detalles del banco o información médica, sino lo que hacemos, dónde estamos o lo que nos gusta.
Uno de los cambios que propone la ley es el “Derecho al Olvido”, es decir que el usuario tendrá la oportunidad de pedir que se eliminen todos sus datos de las cientos de bases de datos que hay en internet, incluso cuando el dato esté procesado por una empresa que no estén en Europa. Con ello se buscar fortalecer los derechos individuales.
Las mayores implicaciones de la ley, no obstante, caen del lado de las empresas, a las que se les exigirá, entre otras cosas, que informen de una brecha de seguridad en las primeras 24 horas después de que se produzca. Claro que primero la empresa debe enterarse de que sus redes y servidores se han visto atacados y la información que almacenan está en malas manos.
Esta será una de las mayores presiones a las que se verán sometidas las empresas cuando la ley entre en vigor, previsiblemente dos años después de su aprobación. Se pone de manifiesto que la mayoría de las empresas no cuentan con la seguridad adecuada y son muy pocas las que cuentan con un plan de prevención de pérdida de datos.
Se da por hecho que ordenadores y portátiles, servidores y mainframes, pueden generar una brecha de datos, pero últimamente han aparecido otros artículos, como los tablets, los smartphones, cámaras e incluso tarjetas flas, que también sus susceptibles de ser atacados. La tendencia BYOD (Bring Youd Own Devices), que supone la utilización de un tablet o un smartphone personal en el entorno empresarial, cobra importancia si se tiene en mente una ley que puede poner multas importantes a las empresas que se “permitan” tener una brecha de seguridad.
De forma que los 130 millones de dólares al año que se prevé que ahorren las empresas gracias a una Ley de Protección de Datos común en toda la Unión Europea puede que no sean bastante frente a los costes a los que tendrán que enfrentarse las empresas para no sufrir un desliz.
La propuesta de ley es clara: para una primera infracción las autoridades nacionales de supervisión podrán enviar una carta de adventencia; a partir de ahí toca sacar la cartera. Por violaciónes graves –como el procesamiento de los datos confidenciales sin el consentimiento de una persona o por cualquier motivo legal, las autoridades de supervisión podrán imponer sanciones de hasta un millón de euros o hasta un 2% de la facturación global anual de una empresa. Las multas comienzan en 250.000 euros o hasta el 0,5% de la facturación por delitos menos graves –como que una empresa cobre a un usuario que quiera cambiar sus datos, y pueden llegar hasta los 500.000 euros, o el 1% de la facturación, por no suministrar información a un usuario o por no tener los datos rectificados.
La ley prevé también el derecho a la portabilidad de los datos, lo que obligará a los proveedores a asegurarse de que los datos existen en un formato que permita a los individuos transferir su información a un proveedor de servicio alternativo, por ejemplo. Y si esto se aplica al entorno de las redes sociales, la complicación se entiende aún mejor.
Siguiendo con las complicaciones de la propuesta es que tendrá un enorme impacto en la manera en que se utilizan los datos de los usuarios, porque en cualquier momento podrían tener que demostrar cómo y por qué están utilizando dichos datos.
La nueva propuesta de ley, que busca un mayor control de los datos y una mayor protección para la privacidad de los usuarios, deja que sean las compañías quienes tengan que implementar sistemas y políticas internas, incido el cifrado y estrategias para la identificación y gestión de una brecha de datos. La identificación será especialmente importante si finalmente hay que cumplir el plazo de 24 horas que quiere imponerse.