En la actualidad, los datos son un elemento esencial para las empresas modernas y tienen un papel crucial en los procesos de transformación digital. Un mayor número de datos permite una mejor analítica, lo que da a lugar a mejores productos, lo que atrae a más usuarios y lo que finalmente genera un incremento en el volumen de datos. Esto se conoce como el efecto de la red de datos: cuantos más datos de los usuarios tengan las empresas, más podrán conocer sus necesidades y preferencias y, por ende, ofrecerán productos y servicios mejores y de mayor calidad.

Así, las empresas hoy tienen un poderoso incentivo para maximizar y apostar por el proceso de recopilación y tratamiento de los datos. En un escenario ideal, esto debería resultar en una situación ventajosa tanto para las empresas como para los usuarios. Sin embargo, la historia reciente nos muestra que la incesante búsqueda de datos, sin tener en cuenta el derecho a la privacidad de los usuarios, ha dado lugar a escenarios menos recomendables: desde el robo de datos ocasionados por brechas de seguridad, hasta el uso de rastreadores de software ocultos.

En un esfuerzo por salvaguardar la privacidad del usuario, el Reglamento General de Protección de Datos europeo (GDPR por sus siglas en inglés) entrará en vigor el próximo 25 de mayo de 2018 y será una normativa directamente vinculante para todos los Estados Miembros de la Unión Europea.

Esta normativa pretende aumentar el nivel de protección de los datos personales para los residentes europeos y consolidar y homogeneizar esta legislación entre todos los estados miembros de la UE. En consecuencia, es probable que las empresas necesiten actualizar su enfoque al respecto de la protección y tratamiento de datos personales para cumplir con la nueva normativa.

El nuevo Reglamento se basa en la premisa de que los datos personales pertenecen a la persona y otorgan a los individuos capacidades para ejercer un mayor control sobre el tratamiento de sus datos por parte de las entidades, incluidos los derechos legales para acceder y eliminar sus datos personales de las bases de datos, así como la obligatoriedad de de dar consentimiento explícito para que sus datos puedan ser procesados.

No obstante, muchas compañías, de todos los sectores, aun no están preparadas para asumir los cambios que plantea el GDPR, ni para gestionar el impacto que traerá consigo en la forma en la que se realizan los negocios en la actualidad. Entre las empresas del Reino Unido encuestadas por PWC, solo el 8% está lista para cumplir con el nuevo Reglamento, mientras que el 34% acaba de iniciar las acciones para llevar a cabo su cumplimiento y el 5% no ha comenzado en absoluto. Es vital que cada empresa comprenda el impacto del GDPR para su negocio, para que puedan prepararse adecuadamente antes de que la regulación entre en vigor.

A continuación, te ofrecemos una serie de orientaciones al respecto de los aspectos más relevantes que contempla este Reglamento, de cara a que puedas entender mejor sus principios rectores, conozcas el coste de su incumplimiento, la normativa aplicable a cada tipo de negocio y cómo Liferay DXP cumple con esta nueva regulación. Conociendo las siguientes directrices, tu empresa estará preparada para el cumplimiento del GDPR.

El principio detrás del GDPR:

Los 99 artículos y 173 considerandos del GDPR están diseñados para detener posibles abusos relacionados con la adquisición y el tratamiento de los datos personales. El considerando 1 resume la razón principal que motiva todo el Reglamento:

"La protección de las personas físicas en relación con el procesamiento de datos personales es un derecho fundamental".

De cara a garantizar este derecho de las personas, este principio fundamental debe ser adoptado por todas las organizaciones. Las directrices que establece el GDPR, en línea con este principio, pueden requerir que las empresas reestructuren sus prácticas. Sin embargo, abordar el cumplimiento de este Reglamento no es algo tan simple como cotejar una check list. El texto del Reglamento es intencionalmente amplio y su aplicación específica dependerá de la dimensión, sensibilidad y criticidad de los datos que procese cada entidad. Así, las organizaciones deberán enfocar el cumplimiento normativo desde una perspectiva de evaluación del riesgo.

En este sentido, tener disponible un mayor o menor presupuesto no garantiza plenamente la seguridad de los datos de una empresa. Cada organización debe determinar y orientar la inversión apropiada para garantizar la protección de los datos de sus usuarios.

El coste del GDPR

En caso de que una empresa infrinja las normas que establece el GDPR, la autoridad de supervisión responsable en el Estado miembro de la UE puede multar a las compañías con hasta el 4% de los ingresos anuales globales del año fiscal anterior, o con una cantidad de hasta 20 millones de euros, prevaleciendo la cifra que sea mayor. Adicionalmente, es posible que también se exija a la empresa que pague una indemnización por daños y perjuicios a los afectados. Además, el incumplimiento y sus sanciones se harán públicas, lo que generará, también, un daño en la reputación corporativa de la organización, resultando en una pérdida de la confianza por parte de los clientes.

Un estudio de PWC muestra que entre las compañías que han terminado los preparativos para el cumplimiento del GDPR, más del 88% gastó más de un millón de dólares en ese proceso, y el 40% gastó más de diez millones, según sus propias estimaciones. Las obligaciones que trae consigo el nuevo Reglamento conlleva que las empresas tengan que trabajar de cara a preparar y garantizar que los procesos relacionados con el tratamiento de datos personales cumplen con lo estipulado en la normativa. Y esta adaptación trae consigo una serie de costes asociados que deben tenerse en cuenta.

El GDPR en la práctica

El GDPR perfila una serie de obligaciones para una amplia gama de prácticas relacionadas con los datos personales, entre las que incluye menciones especiales para el tratamiento de datos de niños, la transferencia de datos a otros países, la toma de decisiones automatizada, la gestión ante una brecha de seguridad que implique una vulnerabilidad de los datos, y más. Cada empresa debe evaluar cómo afecta el GDPR a su caso de uso particular. A continuación te ofrecemos algunas directrices generales que aplican a la mayoría de las empresas, si no a todas:

  • La legalidad, la imparcialidad y la transparencia (artículo 5 (1) (a)) requieren que las empresas sean francas y transparentes sobre qué datos personales recopilan y por qué. Esta normativa obliga a las organizaciones a expresar, de forma clara y concisa cómo y  por qué se está haciendo uso de datos personales, invalidando así cualquier tipo de aceptación del consentimiento de cesión de datos oculto entre las condiciones y/o los términos legales.
  • La minimización de datos (artículo 5 (1) (c)) es un principio que contrasta con la práctica dada en algunas de las empresas actuales, que tienen una mentalidad de "maximización de datos". Esto es: a veces, las empresas recopilan datos personales sin tener claro ni el objetivo, ni cómo se usarán dichos datos. En esta era de big data, la inteligencia artificial y el machine learning, la tendencia es recopilar la mayor parte de la información posible, por si fuera de utilidad en el futuro. No obstante, según el GDPR, conforme a ese principio de minimización de datos, las empresas solo deben recopilar la cantidad mínima de datos personales necesaria para cumplir su propósito específico.
  • El consentimiento explícito (artículo 6 (1) (a)) del individuo, es también citado expresamente como requisito imprescindible para procesar datos personales no esenciales para la actividad que se está tratando. Algo que afectará directamente a aquellos que deseen recopilar información adicional de los usuarios con un objetivo de marketing. Según recoge expresamente el Reglamento, el consentimiento debe ser "otorgado libremente, de forma específica, informada y sin ambigüedades". Esto significa que ya no se permiten prácticas como: la venta de listas de correo electrónico a terceros sin el consentimiento del usuario o el uso casillas de verificación marcadas por defecto para recibir boletines informativos por correo electrónico.
  • El derecho de cancelación (artículo 17) que también recoge este Reglamento, faculta a las personas el derecho a solicitar a las organizaciones a eliminar sus datos personales de sus sistemas, ya que las empresas no están legalmente obligadas a conservar los datos personales (como en el caso de los registros bancarios). También conocido como el "derecho al olvido", este requisito se puede cumplir a través de la eliminación total y efectiva de los datos personales o a través de la anonimización. Para este caso, hay que tener en cuenta los requisitos técnicos específicos que se necesitan para realizar una anonimización con garantías.
  • El derecho a la portabilidad de datos (artículo 20) de manera similar que los anteriores, otorga a las personas el derecho a solicitar a las empresas que exporten sus datos personales de sus sistemas. Esto evita el bloqueo del proveedor cuando las personas no pueden elegir un servicio competitivo debido a la magnitud y complejidad de los datos personales con un negocio en particular.

Estas son solo algunas de las normas descritas en el GDPR, por lo que las empresas no deben subestimar el alcance de este Reglamento y deben realizar evaluaciones exhaustivas tanto de la regulación como del impacto de este en las operaciones de su negocio.

¿Qué está haciendo Liferay DXP al respecto del GDPR?

Adaptar la actividad de una organización al cumplimiento normativo de este Reglamento tendrá consecuencias e implicaciones de distinto calado en función de cada negocio. Por ejemplo, el historial de los pacientes de un hospital va a requerir un tratamiento diferente al de se haga con los perfiles de una intranet de empleados. Liferay se compromete a ofrecer productos flexibles que pueden personalizarse para respaldar la estrategia de su empresa de cara a proteger la privacidad de sus usuarios finales.

Liferay Digital Experience Platform ofrece una protección de datos robusta, así como  capacidades adicionales de seguridad, que te permitirán allanar el camino hacia el cumplimiento normativo relacionado con el GDPR. Esto incluye funcionalidades out-of-the-box listas para su uso, una potente herramienta de búsqueda de datos, una taxonomía flexible para la clasificación de los datos, un sistema de provisión de permisos granular y una infraestructura altamente personalizable. Además, para Liferay DXP está prevista la inclusión de funcionalidades tales como: la capacidad de administrar directamente la portabilidad de datos y las necesidades relativas a la eliminación de datos/  necesidades de anonimización para usuarios dentro de los sistemas Liferay.

Prepárate para el GDPR con Liferay

Conoce los elementos importantes que establece el GDPR, una estimación de los costes que conlleva la adecuación de tu organización a dichas directrices, así como el camino hacia el cumplimiento normativo con el Webinar de Liferay el próximo 31 de enero.

Registro: “GDPR: sus principios más importantes y Liferay DXP.  
评论