GDPR: impactos y retos presentes y futuros  

El 25 de mayo, tras dos años en vigor, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (conocido como GDPR por sus siglas en inglés) será de aplicación, y, por tanto, las entidades deberán estar adaptadas a los requerimientos regulatorios exigidos por el mismo.

Los datos personales son un activo fundamental para las empresas. El uso y tratamiento de los mismos, además de ser necesario para poder dar servicio a los usuarios o clientes, permite entender y conocer mucho mejor los gustos, preferencias y forma de actuar de éstos, proporcionando información para evolucionar en su modelo de relación y la experiencia de usuario.

El GDPR no debe verse sólo como una obligación legal, además de permitir ofrecer una mayor protección a los usuarios, así como incrementar sus derechos, puede ser una oportunidad para que las empresas evolucionen sus modelos de negocio, los servicios que ofrecen y nuevas alianzas con terceros en busca de ventajas competitivas.

Los tratamientos están en constante evolución, en un mundo cada vez más “open”, más dinámico, más digital y donde el uso de los datos personales y el intercambio de los mismos es cada vez más frecuente. Este nuevo contexto abre un abanico de nuevos riesgos para los derechos y libertades de las personas, generando la necesidad de establecer nuevas medidas que permitan garantizar la protección de los datos personales.

Uno de los nuevos aspectos que destacan en este nuevo cambio normativo, es el cambio de enfoque por parte del regulador. Acostumbrados a la LOPD, en la que disponíamos de directrices claras de qué medidas técnicas y organizativas debíamos aplicar para garantizar la protección de los datos en función de su nivel, ahora el regulador traslada a las empresas la responsabilidad de determinar qué medidas son las más adecuadas en función del potencial riesgo al que esté sometido cada tratamiento.

Las entidades deben cambiar su perspectiva a la hora de gestionar los datos, considerando el impacto sobre las personas, como un eje más a la hora de valorar los riesgos y decidir qué medidas establecer para garantizar la protección de los datos.

Desde un punto de vista de cumplimiento, durante los últimos meses, las empresas han enfocado sus esfuerzos en crear un modelo de gobierno y las estructuras necesarias para poder dar soporte a las exigencias regulatorias mediante procesos y procedimientos que garanticen el adecuado gobierno de los datos personales.  Hoy en día, creo que es indiscutible afirmar que el impacto de esta regulación afecta de forma significativa a múltiples áreas dentro de la organización y, que, en muchos casos, la magnitud de este impacto no ha sido valorada adecuadamente, provocando en las entidades un sprint final durante los últimos meses para poder llegar al 25 de mayo en condiciones adecuadas.

En este contexto, los resultados de una encuesta realizada por Deloitte a nivel europeo nos dan una visión de en qué estado se encuentran las empresas en su proceso de adaptación. Únicamente el 15% de las organizaciones esperaba ser “fully compliant” en mayo de 2018, adoptando las mismas una estrategia de defensa ante potenciales incumplimientos basada en una aproximación a los requerimientos en base su riesgo.

Las tres principales barreras de partida para lograr el cumplimiento que destacaban las compañías sobre el contenido y alcance del GDPR eran:

Por lo tanto, el camino sigue, hablamos de una carrera a largo plazo donde las entidades caminan hacia una mejor protección y uso de la información, acompañadas de un entorno cada vez más concienciado y exigente respecto al uso y tratamiento de los datos de carácter personal.