GDPR es una regulación que exige a las empresas proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que tienen lugar dentro de los estados miembros de la UE. Y el incumplimiento podría costar caro a las compañías. Esto es lo que toda empresa que hace negocios en Europa necesita saber sobre GDPR.

Las empresas que recopilan datos sobre ciudadanos en los países de la Unión Europea deberán cumplir con nuevas reglas estrictas para proteger los datos de los clientes antes del 25 de mayo de 2018. Aclaración: cualquier sitio de ecommerce se lo considera como recopilador de datos, es decir, si Usted vende algo, bien físico o servicio, a ciudadanos de la UE, la caben los considerandos de la ley. Se espera que el Reglamento General de Protección de Datos (GDPR - https://www.eugdpr.org) establezca un nuevo estándar para los derechos del consumidor con respecto a sus datos.

El cumplimiento causará algunas preocupaciones y nuevas expectativas en los equipos de seguridad. Por ejemplo, el GDPR tiene una visión amplia de lo que constituye la información de identificación personal. Las empresas necesitarán el mismo nivel de protección para cosas como la dirección IP de una persona o los datos de las cookies que para el nombre, la dirección y el número de la Seguridad Social.

La GDPR deja mucho para la interpretación. Dice que las empresas deben proporcionar un nivel de protección "razonable" para los datos personales, pero no define lo que constituye "razonable". Esto le da al organismo de gobierno de la GDPR mucha libertad de acción para evaluar multas por infracciones de datos e incumplimiento.

¿Qué es el GDPR?

El Parlamento Europeo adoptó el GDPR en abril de 2016, reemplazando una directiva obsoleta de protección de datos de 1995. Contiene disposiciones que requieren que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para transacciones que ocurren dentro de los estados miembros de la UE. El GDPR también regula la exportación de datos personales fuera de la UE.

Las disposiciones son consistentes en los 28 estados miembros de la UE, lo que significa que las empresas tienen un solo estándar para reunirse dentro de la UE. Sin embargo, ese estándar es bastante alto y requerirá que la mayoría de las compañías realicen una gran inversión para cumplir y administrar.

Según un informe de Ovum (https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape), alrededor de dos tercios de las empresas estadounidenses creen que el GDPR les exigirá que reconsideren su estrategia en Europa. Aún más (85 por ciento) considera que la GDPR los pone en desventaja competitiva con las empresas europeas.

¿Por qué existe el GDPR?

La respuesta corta a esa pregunta es la preocupación pública sobre la privacidad. Europa en general ha tenido reglas más estrictas sobre cómo las empresas usan los datos personales de sus ciudadanos. La GDPR reemplaza la Directiva de Protección de Datos de la UE, que entró en vigencia en 1995. Esto fue antes de que Internet se convirtiera en el centro comercial en línea que es hoy en día. En consecuencia, la directiva está desactualizada y no aborda muchas formas en que los datos se almacenan, recogen y transfieren hoy.

¿Cuán real es la preocupación pública sobre la privacidad? Es significativo y crece con cada nueva violación de datos de alto perfil. Según RSA Data Privacy & Security Report, por el cual RSA encuestó a 7.500 consumidores en Francia, Alemania, Italia, el Reino Unido y los EE. UU., el 80 por ciento de los consumidores dijo que la pérdida de datos bancarios y financieros es una preocupación principal. La información de seguridad perdida (por ejemplo, contraseñas) y la información de identidad (por ejemplo, pasaportes o licencia de conducir) fue citada como una preocupación del 76 por ciento de los encuestados.

El informe también muestra que los consumidores no perdonarán fácilmente a una empresa una vez que se produzca una violación que exponga sus datos personales. Setenta y dos por ciento de los encuestados de EE.UU dijeron que boicotearían a una empresa que parecía ignorar la protección de sus datos. El cincuenta por ciento de todos los encuestados dijeron que tendrían más probabilidades de comprar en una compañía que podría demostrar que toma en serio la protección de datos.

"A medida que las empresas continúan con sus transformaciones digitales, haciendo un mayor uso de activos digitales, servicios y big data, también deben ser responsables de monitorear y proteger esos datos diariamente", concluyó el informe.

¿Qué tipos de datos de privacidad protege el GDPR?

• Información de identidad básica como nombre, dirección y números de identificación
• Datos web como ubicación, dirección IP, datos de cookies y etiquetas RFID
• Salud y datos genéticos
• Información biométrica
• Datos raciales o étnicos
• Opiniones políticas
• Orientación sexual
  

¿A qué compañías afecta el GDPR?

Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los estados de la UE debe cumplir con el GDPR, incluso si no tienen presencia comercial en la UE. Los criterios específicos para las empresas que deben cumplir son:

• Una presencia en un país de la UE.
• No hay presencia en la UE, pero procesa datos personales de residentes europeos.
• Más de 250 empleados.
• Menos de 250 empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional, o incluye ciertos tipos de datos personales confidenciales. Eso efectivamente significa casi todas las empresas. Una encuesta de PwC mostró que el 92 por ciento de las empresas de los EE.UU considera que GDPR es una de las principales prioridades de protección de datos. (https://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf)

¿Cuándo debe cumplir mi empresa el cumplimiento?

Las empresas deben poder mostrar su cumplimiento antes del 25 de mayo de 2018.

¿Quién dentro de mi empresa deberá responsable del cumplimiento?

El GDPR define varios roles que son responsables de garantizar el cumplimiento: el controlador de datos, el procesador de datos y el oficial de protección de datos (DPO). El controlador de datos define cómo se procesan los datos personales y los fines para los que se procesa. El controlador también es responsable de asegurarse de que los contratistas externos cumplan.

¿Qué sucede si mi empresa no cumple con el GDPR?

El GDPR permite fuertes penalizaciones de hasta € 20 millones o 4 por ciento de la facturación anual global, el que sea mayor, por incumplimiento. Según un informe de Ovum, el 52 por ciento de las empresas cree que será multado por incumplimiento. La consultora de gestión Oliver Wyman predice que la UE podría recaudar hasta $ 6 mil millones en multas y sanciones en el primer año.

¿Si yo vendo por medio de otro sitio web, como ser eBay o Amazon, debo cumplir con el GDPR?

En ese caso es eBay o Amazon quien debe cumplir, ya que ellos son los que recopilan datos.