Bienvenido a nuestro Blog

Un año después. ¿Qué ha ocurrido con la Ley de protección de datos, GDPR?

Posted by Alejandro Durán on 5/23/19 7:14 AM

iStock-944328474

Promulgada el 25 de mayo de 2018, la Ley General de Protección de Datos (GDPR, por sus siglas en inglés) sacudió el mundo de la privacidad al establecer las normas de protección al consumidor más estrictas jamás vistas.

Cualquier industria que manejara información de residentes en países de la Unión Europea se vio afectada, pues la normativa fue diseñada para obligar a las organizaciones a implementar los procesos apropiados para salvaguardar la privacidad del consumidor y obtener su confianza.

Un año después, revisamos algunas reflexiones en torno a su impacto, proyecciones para lo que resta del año y las multas con que algunas empresas han debido responder por su incumplimiento.

Si bien es posible que más consumidores se manifiesten preocupados o declaren estar buscando activamente soluciones para resguardar la privacidad de su información personal, la realidad es que los datos indican que no están tomando las medidas necesarias.

Según BestVPN, aproximadamente la mitad (46%) de los consumidores estadounidenses no ha modificado la configuración de seguridad después de Cambridge Analytica / Facebook.

Ha pasado casi un año desde que la UE introdujo GDPR. ¿Qué cambios positivos ha visto hasta ahora?

De acuerdo con la opinión de Dietmar Rietsch, CEO de Pimcore, desde que entró en vigencia la GDPR, las organizaciones han cambiado su forma de pensar para estar más centradas en soluciones de gestión de datos eficaces para el éxito. GDPR requiere que las organizaciones sean más estratégicas sobre cómo están utilizando, almacenando y agregando datos de los clientes, lo que no sólo ayuda a las empresas a cumplir con los estándares de cumplimiento, sino que también les permite mejorar los procesos de negocios y la experiencia del cliente.

Las organizaciones de toda industria luchan por consolidar, limpiar, perfilar y establecer sus datos como un registro de oro centralizado, ya que los datos a menudo se encuentran dispersos en varios departamentos y en varios silos.

Esto ha hecho que sea muy difícil para las empresas cumplir con las regulaciones de la GDPR porque a menudo hay registros duplicados, procesos ineficientes para recuperar información y nuevas amenazas a la seguridad de los datos.

Las organizaciones deben mejorar sus soluciones de gestión de datos maestros para lograr reunirlos, de modo que puedan ser aprovechados para obtener información única y cumplir con las regulaciones de protección de la privacidad de la GDPR.

Una gran tendencia que se observa es el desglose de los silos de datos dentro de las organizaciones. Dado que la información de los clientes se obtiene a través de múltiples puntos de contacto, las empresas están poniendo mayor énfasis en aprovechar cada uno de esos puntos para informar una experiencia cohesiva que se basa en una imagen completa de lo que necesita cada cliente único.

Esto implica que las organizaciones den prioridad a las soluciones tecnológicas que permitan esta visión global y aseguren que los datos estén limpios, consolidados y organizados. Así, las organizaciones pueden diseñar ideas más efectivas y actuar a partir de ellas.

Las compañías que manejan información de clientes deben implementar una sólida estrategia de gestión de datos maestros lo antes posible, sólo así lograrán consolidar, limpiar y racionalizar todos los datos y productos, para garantizar el cumplimiento de la GDPR.

Violación a la privacidad de los datos y penas aplicadas

Stephen Eckersley, el jefe de ejecución en la Oficina del Comisionado de Información de los EE.UU., señaló que ese país ha visto un "aumento masivo" en los informes de violaciones a la privacidad de datos desde la implementación del GDPR.

Asimismo, en junio de 2018, las empresas informaron 1.700 casos de violaciones a la normativa, y Eckersley estimó que, para todo el 2019, alrededor de 36.000 violaciones serán reportadas, lo que implica un significativo aumento en relación al año anterior que se calcula entre 18.000 y 20.000 denuncias.

En toda Europa, cerca de 60,000 infracciones fueron notificadas durante los primeros ocho meses de vigencia de la GDPR, según un informe publicado el mes pasado por la firma de abogados DLA Piper.

La exitosa tasa de denuncias por violaciones al cuerpo legal observada en el viejo continente constituye un ejemplo a seguir para los Estados Unidos y otros países que han luchado para implementar un marco legal unificado de notificaciones de incumplimiento.

En un artículo que trata sobre multas y violaciones, Future Tense señala que la gran mayoría de las empresas aún no recibe multas por no proteger los datos de sus clientes.

Según la GDPR, las organizaciones deben informar de la violación a la privacidad de datos, tanto a las personas afectadas como a las autoridades reguladoras, dentro de las 72 horas posteriores a su detección.

También establece una definición común y más amplia de lo que se entiende por datos personales. El DPD consideraba como datos personales el nombre, fotos, direcciones de correo electrónico, número de teléfono, direcciones postales y números de identificación personal, categoría que la GDPR amplió al incluir direcciones IP, datos biométricos, identificadores de dispositivos móviles y otro tipo de información que pudiera ser utilizada para identificar a un individuo.

Al ampliar la definición de datos personales y, por extensión, lo que constituye una violación a su privacidad, y al aplicar un requisito de notificación estandarizado a toda la UE, la GDPR parece haber generado un conjunto mucho más amplio de incidentes notificados.

Si bien la GDPR puede ser considerada un modelo positivo para la política de notificación de infracciones, parece haber tenido menos éxito en su propósito más crucial y discutido: la aplicación efectiva de multas a las empresas que hacen mal manejo de los datos personales.

Durante los primeros nueve meses de vigencia de la GDPR, las sanciones totales impuestas en virtud del estatuto ascendieron a 55.955.871 euros, según un informe publicado a finales de febrero por la Junta Europea de Protección de Datos.

Eso suena impresionante hasta que, como lo hiciera en un panel retrospectivo realizado en Londres, Vivienne Artz, directora de privacidad de Refinitiv, nos hagan notar que los 50 millones de euros impuestos como multa a Google en enero representa casi el 90 % de esa suma.

La gran mayoría de las compañías aún no son multadas por no proteger los datos de sus clientes, y la gran mayoría de las sanciones aplicadas aún son cifras apenas marginales para las compañías penalizadas. Podría decirse, incluso, que 50 millones de euros son una suma bastante trivial para Google, frente a los $136,8 mil millones de ingresos que obtuvo en 2018 (apenas el 0,04% de su utilidad).

eBook Protección de datos: Regulación, ética y privacidad

Tags: Obtener, Proteccion de datos

Post más populares

Ebook-caluga
webinar caluga

Suscríbase al blog

Suscribirse

Suscríbase a nuestro blog

Suscríbase