GDPR: navegación por la complejidad de los datos del cliente

Marcy Darsey, director de Asesoramiento empresarial, Lifesize
Fecha: 15 de febrero de 2018

Hola a todos, y bienvenidos a Lifesize Live!, el programa web en directo producido íntegramente a través de la plataforma de Lifesize.

Soy Julian Fields, presentador, y hoy me acompaña Marcy Darsey, asesor jurídico de Lifesize. Hoy hablaremos del GDPR.

Cierto. El tema preferido de estos días.

Sí. Sabemos lo que es el GDPR, pero mejor que lo podamos aclarar para que todo el mundo sepa qué es el GDPR, explicar un poco el contexto: lo que es, lo que realmente representa, etc.

Bueno, Julian, en primer lugar, gracias por invitarme a Lifesize Live!. Es realmente emocionante ver el estudio y formar parte de esta transmisión que Lifesize está produciendo ahora. Y, antes de comenzar, o de profundizar en el GDPR, ya que soy abogado, quiero interponer un aviso legal antes de comenzar y decir que nada de lo que diga en los próximos 10 minutos constituye en realidad un asesoramiento jurídico.

Correcto.

Entonces, si alguien tiene mucha curiosidad sobre este tema o tiene preguntas específicas sobre GDPR o cualquier regulación o ley, debe consultar con un experto legal cualificado en esas cuestiones. Pero, ahora, sobre tu pregunta. ¿Qué es el GDPR y qué significa? El GDPR (por sus siglas en inglés) significa Regulación General de Protección de Datos, y es una nueva ley que fue aprobada por la Comisión de la Unión Europea. Se relaciona con la seguridad de los datos y la privacidad de todos los residentes de la Unión Europea.

De acuerdo. Sé que, trabajando en marketing, siempre hemos visto estos aspecto en el hecho de no poder enviar correos electrónicos a ciertas personas que no se han registrado.

Correcto. Bueno, en realidad han existido leyes de privacidad y seguridad de los datos en la UE durante mucho tiempo, desde hace más de 20 años. Pero el GDPR en sí mismo ha estado funcionando durante dos años. Ha habido un período de implementaciones, y el 25 de mayo es cuando los reguladores comenzarán a aplicar esta ley. Comenzarán a responder a los problemas de incumplimiento y, si descubren que las empresas no cumplen con el GDPR, entonces esas compañías podrían estar sujetas a sanciones. Y las sanciones son realmente significativas.

De acuerdo, entonces no es solo una llamada de atención.

Exacto, no solo es una llamada de atención. Las sanciones pueden alcanzar los 20 millones de euros, lo que supone una cantidad realmente alta.

La tasa de conversión, veamos, es como más de 20 millones de dólares.

Es muchísimo. Las empresas pueden pagar más de 20 millones de dólares o hasta un 4 % de su facturación global anual, que incluye los ingresos de sus operaciones en todo el mundo, no solo de sus operaciones en Europa.

Bueno, cuanto mayor seas, mayor será la sanción.

Correcto, las sanciones son significativas, y eso es porque la Unión Europea reconoce que todas las personas tienen un derecho fundamental a la privacidad. Y cuando piensas en el mundo en el que vivimos hoy en día con todos los avances tecnológicos que han sucedido en las últimas décadas, las identidades de las personas y sus datos personales se comparten en muchas plataformas, y muchas empresas se benefician de la captación y la recopilación de datos de individuos.

Sí, parece que casi todas las aplicaciones que poseo tienen al menos mi nombre, algún elemento de contraseña, números de teléfono, dirección y cosas así.

Exactamente. Piensa en todas las empresas con las que interactúas en línea y cuánta información personal tienen esas empresas sobre ti.

No solo se trata de la tarjeta de crédito, sino también de tu información personal.

Sí, tu identidad, tus datos, quién eres, tu nombre... todo eso es información privada. Y si compartes esa información con una compañía, entonces esa empresa está obligada a asegurarse de que sean transparentes contigo acerca de cómo están recopilando esos datos y cómo los están usando, y también están obligados a implementar los procedimientos técnicos y de seguridad adecuados para garantizar que tus datos personales estén seguros y que no sean pirateados. Ahora, en el caso de que las empresas no cumplan con esas leyes, las sanciones son severas, porque el gobierno de la UE quiere asegurarse de que las empresas se tomen en serio sus obligaciones.

Ajam. Entonces, ¿cuáles son los elementos clave del GDPR?

Bueno, si imprimes el GDPR en inglés, son 88 páginas. Por lo que es una ley larga, y abarca muchos temas. Hay actualmente 99 artículos diferentes en el GDPR.

Bueno, no está mal, porque hoy quedan 99 días antes de que tengamos que cumplirla. Un artículo por día, esto lo podemos hacer.

Cualquiera puede hacer eso. Entonces 99 es el número mágico hoy porque estamos a 99 días de que la implementación del GDPR sea efectiva. Cubre muchos aspectos, pero uno de los temas clave es uno de los que hemos mencionado: la transparencia. Por lo tanto, las personas tienen derecho a comprender qué datos se recopilan sobre ellos y qué hacen las empresas con esos datos, si los transmiten a otros proveedores o procesadores externos. La transparencia también implica saber cómo y dónde se almacenan los datos.

Así como las ventanas emergentes que ves en los sitios web que dicen que recopilan cookies y ese tipo de cosas.

Sí, podrían ser banners, de forma que puedan ser transparentes con los clientes. La exposición apropiada de la política de privacidad o del aviso de privacidad es realmente importante. La mayoría de las empresas están actualizando sus avisos de privacidad para que los clientes cumplan con esas obligaciones de transparencia. Otro principio en el GDPR es la responsabilidad, que también es realmente importante. Responsabilidad significa que las empresas deben poder demostrar a sus clientes que están cumpliendo con la normativa y, para demostrar el cumplimiento, las empresas deben tener políticas y procedimientos documentados establecidos. También deben documentar sus actividades de procesamiento de datos. Las empresas tienen que llevar un registro de lo que están haciendo.

Así que no solo consiste en decir: "Sí, estoy cumpliendo el GDPR".

No, no vale con solo decir: "Créetelo. Cumplimos con la ley". Tienes que aportar la documentación específica que demuestre tu cumplimiento con la normativa. Y luego, un tercer principio importante del GDPR es lo que se conoce como concepto de privacidad por diseño, que habla sobre si las compañías están desarrollando productos que implican la recopilación, el procesamiento o el almacenamiento de los datos personales de las personas.

Como esas aplicaciones de las que estaba hablando.

Eso es, exactamente. Entonces, si eres una empresa y estás desarrollando aplicaciones que recopilan datos personales, debes aplicar un enfoque de privacidad por diseño para el desarrollo del producto.

Entonces no es una idea de último momento.

Correcto, eso significa que, a medida que desarrollas la arquitectura para tu solución o tu servicio, también tomas en cuenta la privacidad y la seguridad en cada paso del proceso. Lo estás desarrollando pensando en la privacidad desde cero y pensando en cómo se integra en la arquitectura de tu producto. No es algo que hagas en el último momento porque te acuerdes. Es como dijiste.

"Lo encriptaremos al final": esa no es la manera de hacerlo.

No es algo que corresponda a un solo punto, sino que tienes que tenerlo en cuenta durante todo el ciclo de desarrollo del producto. Y, por supuesto, de nuevo necesitas documentar todas esas actividades con responsabilidad.

Ajam. Bueno, si esas son las claves, tal vez se reduzca a lo que las empresas realmente deberían pensar. ¿Cuál es el primer paso en el que necesitan trabajar?

Bueno, el primer paso para las empresas es hacer una evaluación de los datos y comprender qué datos tienen. Las empresas necesitan comprobar qué datos poseen realmente de sus clientes y comprender sus datos y el flujo de datos. A veces, se refiere a hacer un mapa de datos o un inventario de datos. Después, observan cada paso, desde la recopilación hasta el procesamiento, pasando por el almacenamiento hasta la eliminación o la retención, ya tengan o no obligaciones que cumplir para garantizar su cumplimiento. Entonces, el primer paso consiste en aplicar una evaluación de datos o un mapa de datos. Y, posteriormente, el segundo paso sería desarrollar medidas técnicas y operativas adecuadas para garantizar que los datos personales estén seguros a lo largo de todo el mapa de datos.

De acuerdo. Acabo de ver que teníamos una pregunta; si no te importa, la contestamos. Tiene que ver con los tipos de requisitos en torno al responsable de la protección de los datos. ¿Las empresas deberían disponer de este perfil?

Depende. No es obligatorio para todas las empresas, pero depende del tipo de datos que se procesen. Si estás procesando una gran cantidad de datos confidenciales, probablemente deberías tener un responsable de protección de datos. Y si estás realizando algún tipo de supervisión constante, como si tuvieras un televisor con subtítulos ocultos y vigilarás constantemente a las personas, debes contar con un responsable de protección de datos. Esa es una respuesta legal habitual, pero depende. Esto supone realmente un buen ejemplo de esta ley: no es una ley única para todos. Todas las empresas deberían desarrollar un programa personalizado para su propio cumplimiento, dependiendo del tipo de datos y de sus actividades de procesamiento de datos. Entonces, no existe una solución simple que funcione para todas las empresas. Todo necesita personalizarse y considerarse cuidadosamente.

De acuerdo. Bueno, muchas gracias, Marcy. Creo que nos hemos quedado sin tiempo para esta, pero si no te importa, sé que tenemos más preguntas que han llegado. Tal vez podríamos continuar y crear una especie de entrada de blog para hablar un poco más al respecto.

Claro que sí. Hay mucho que decir sobre este tema, y agradezco a todos por sintonizarnos y uniros a nosotros hoy. Y gracias por recibirme.

Por supuesto que sí. Tendremos que volver a tenerte aquí pronto. Bueno, gracias a todos por sintonizar. Nos vemos la próxima semana. Adiós.

¿Necesita más ayuda?
Póngase en contacto con uno de nuestros representantes de ventas locales.