fbpx
24 mayo, 2018 / by WebMasterVP

El estándar internacional en la protección de datos personales

Alguna vez nos hemos puesto a pensar cuantos datos personales hemos compartido en línea?, o qué sucede con esta información una vez suministrada a una empresa o dentro de un grupo de empresas?. Todos los días compartimos información bancaria, contactos, publicaciones en redes sociales, e incluso direcciones IP, quedando todo ello registrado digitalmente en los sitios web que visitamos. Las empresas suelen argumentar que esta información sirve para brindar una mejor experiencia al cliente, pero ello es realmente así?. Ello fue justamente uno de los aspectos que fue materia de discusión a nivel del Parlamento y del Consejo Europeo, lo que llevó a la aprobación del nuevo Reglamento General de Protección de Datos de la Unión Europea (General Data Protection Regulation -GDPR) a entrar en vigencia mañana viernes 25 de junio de 2018.

 

La GDPR representa la más importante iniciativa regulatoria en materia de protección da datos personales que afectará sin duda a empresas en todo el mundo, toda vez que será aplicable a sociedades con sede en la Unión Europea (UE), y aquellas que encontrándose fuera de dicho espacio económico se dirijan a consumidores pertenecientes a la UE. Esto último supone que el Reglamento en materia de tratamiento de data personal será aplicable incluso a empresas con sede legal en Perú que gestionen datos personales de clientes y usuarios ubicados en alguno de los países que integran la UE, siendo lo relevante por tanto los datos personales que las empresas tratan más que su sede legal.

De este modo, con la entrada en vigor de la GDPR las empresas sujetas a su alcance deberán implementar cambios importantes en sus formas de recolectar y utilizar información personal de sus clientes y usuarios, lo que supone una gestión más efectiva de los riesgos derivados del tratamiento de datos al interior de sus estructuras si quieren evitar millonarias multas que pueden llegar a alcanzar un 4% de la facturación total anual o 20 millones de euros, la que resulte superior. Tales sanciones serán aplicables tanto a las empresas responsables del tratamiento de datos personales como a aquellas empresas de servicios encargadas de dicho tratamiento, con lo cual las compañías de servicios de cloud computing no quedarán exentas. Dentro de las principales implicancias del reglamento están la designación de un delegado de protección de datos quién rendirá cuentas directamente al más alto nivel jerárquico de la empresa, el otorgamiento de nuevos derechos a ciudadanos como la portabilidad de sus datos, lo que facultará a sus titulares solicitar la entrega o transferencia de sus datos a otro proveedor de servicios; el ser notificado dentro de las 72 horas de vulneraciones en los sistemas que guarden los datos personales por parte del titular del banco de datos personales, incluyendo el aviso a las autoridades competentes, entre otras medidas.

Sin perjuicio de los varios aspectos que singularmente introduce la GDPR, un aspecto sustancial que vale la pena destacar es su enfoque multifuncional en la gestión de los procesos de seguridad y de gestión del riesgo que puede sufrir la privacidad de los datos que las empresas tratan. De este modo, la norma pretende a través de su regulación involucrar a toda la organización y no sólo al departamento legal o tecnológico (IT), garantizando a su vez niveles de autonomía en la gestión de los riesgos asociados a través, por ejemplo, de la designación de un delegado de protección de datos, figura inexistente en la regulación peruana y que valdría la pena explorar. Este cambio de enfoque regulatorio, sin duda, obliga a las empresas a ser conscientes del panorama actual de amenazas y riesgos asociados al robo de datos personales, situación muy actual si recordamos el reciente caso Facebook, lo que justifica, sea aquí como en Europa, un enfoque basado en la capacidad de medir y prevenir el riesgo al interior de las organizaciones, en línea con la GDPR.

Por María del Carmen Yuta, consultora experta de Vodanovic Legal.