Un reglamento de protección que rebasa límites

Por Yonathan Parada* El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entró en vigor en mayo de 2018, a diferencia de las leyes de protección de datos locales, busca proteger en específico la información personal de los residentes de la Unión Europea (UE, en lo adelante), incluso más allá de su propio territorio. Además, considera la portabilidad de datos personales, es más precisa en relación con la protección de datos de menores de edad y la aplicación de multas más severas. GDPR aplica a organizaciones con sede en la UE –o fuera de la UE– que recolecten (controlador) y/o traten (procesador) datos personales de un residente de la UE, con fines de ofrecer bienes y servicios o en vigilar el comportamiento de los usuarios. Esta nueva regulación, amplía y reemplaza el alcance de la Directiva de Protección de Datos existente en la UE, la cual tuvo vigencia durante 20 años; la ley entró en vigor en mayo de 2016 y fue de aplicación a partir del 25 de mayo de 2018, dos años durante los cuales se hicieron las adecuaciones para su adopción. El Reglamento General de Protección de Datos es una de las regulaciones que tiene mayor impacto en privacidad a nivel mundial y una de las más restrictivas. Para las organizaciones a las que le aplica en México, es muy importante revisar su adopción, así como la adecuación de lo que la regulación local ya nos exige. Cabe recalcar que cuando fueron definidas la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) y la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), incidió de manera importante la Directiva de Protección de Datos de la UE, por lo que ambas (GDPR y leyes locales) son regulaciones similares. Para las empresas, la adopción de GDPR implica un gran esfuerzo y mantenimiento continuo, que incluye construir capacidades a nivel gente, procesos y tecnología, así como integrar equipos multidisciplinarios, lo que exige a las organizaciones una gran capacidad de respuesta. Entre las diferencias más notables de este reglamento se encuentra, sin duda, el alcance de las sanciones económicas. Estas, en el Nivel 1, pueden ir desde 2% del ingreso anual de la empresa o 10 millones de euros, el que sea mayor. En el Nivel 2, un 4% de ingresos anual de la empresa o 20 millones de euros, también el que sea mayor. En México no se han aplicado sanciones a raíz de GDPR. Sin embargo, algunas de las más relevantes a la fecha incluyen, el caso de una aerolínea británica sancionada con 183 millones de libras, el equivalente a 1.5% de sus ingresos anuales; y el de una cadena hotelera que ascendió a 99 millones de libras. Estas sanciones ponen en evidencia que día con día la seguridad de la información cobra mayor relevancia. Considerarla como una inversión y no como un gasto ayudará a convertirla en una ventaja competitiva para la organización. ¿Cómo puede lograrse eso? En la medida que se garantice la protección de los datos recabados, así como su tratamiento, el mercado incrementará su confianza y acelerará su crecimiento. En síntesis, la introducción de regulaciones sofisticadas constituye una oportunidad para mejorar e implantar nuevos procesos digitales que permitan percibir a la protección de datos personales como un derecho humano. *Socio Cybersecurity & Privacy Solutions en PwC México.   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.