14 de mayo 2018 - 21:37

Cuenta regresiva para nueva ley de protección de datos que amenaza con millonarias multas a empresas

• El 25 de mayo comenzará a regir el GDPR, la nueva regulación de la UE que también impactará a nivel regional.
• La medida proveerá más poder a usuarios y exigirá más responsabilidad a compañías.
• Si se repitiera un caso como el de Cambridge Analytica gigantes tecnológicos podrían sufrir sanciones de hasta € 3.600 millones.

El GDPR es una actualización de las reglas vigentes desde 1995, pero desde las próximas semanas se les dará un mayor poder a los usuarios en lo que respecta a los derechos sobre sus datos personales. Los cambios a nivel europeo también tendrán repercusiones para la región. Las regulaciones sobre datos personales en México, Colombia, Perú, Uruguay y la Argentina fueron creadas siguiendo el modelo de la directiva europea.
El GDPR es una actualización de las reglas vigentes desde 1995, pero desde las próximas semanas se les dará un mayor poder a los usuarios en lo que respecta a los derechos sobre sus datos personales. Los cambios a nivel europeo también tendrán repercusiones para la región. Las regulaciones sobre datos personales en México, Colombia, Perú, Uruguay y la Argentina fueron creadas siguiendo el modelo de la directiva europea.
El próximo 25 de mayo entrará en pleno vigor en Europa el Reglamento General de Protección de Datos (GDPR, sigla en inglés), una legislación sancionada en 2016 que ahora se aplicará de manera obligatoria para todas las empresas en el viejo continente. Sin embargo, la regulación impactará en los negocios globales de los gigantes tecnológicos como Google, Amazon o Facebook y también afectará las operaciones de compañías en Latinoamérica.

La puesta en marcha del GDPR llegará luego que el caso Cambridge Analytica revelara el frágil estado en que se encuentra la protección de datos en el mundo y obligará a las empresas a reforzar los mecanismos para resguardar la información de los usuarios.

La regulación no es ni más ni menos que una actualización de las reglas vigentes desde 1995, pero desde las próximas semanas se les dará un mayor poder a los usuarios en lo que respecta a los derechos sobre sus datos personales. Así será como antes de fin de mes los europeos verán cambios en la letra chica de los términos y condiciones de sus servicios.

Algunas de esas modificaciones les permitirán objetar la captura de datos personales para que sean utilizados en la creación de perfiles con fines publicitarios o propagandísticos. También tendrán pleno derecho a la portabilidad de sus datos por lo que podrán moverlos de un sitio a otro sitio ante cada cambio de un servicio.

Por el lado de las empresas, una de las novedades será la creación de un nuevo puesto en el organigrama corporativo. El oficial de protección de datos (DPO por sus siglas en inglés) tendrá como función asegurar que los datos de los usuarios estén debidamente resguardados y que la compañía cumpla con las reglamentaciones. La gestión de datos deberá realizarse bajo procesos de privacidad y seguridad que deben revisarse y mejorarse continuamente.

Sin embargo, lo más importante a tener en cuenta para las compañías serán los posibles castigos que podrían recibir si no cumplen con la reglamentación. Según prevé la normativa, si una compañía con representación en Europa incumple la ley podría pagar multas por 20 millones de euros o el 4% de sus ingresos anuales, lo que resulte más alto. Calculadora en mano, una filtración masiva de datos significaría sanciones de más de 3.600 millones de euros para Alphabet, la empresa matriz de Google, 5.900 millones de euros para Amazon y 1.300 millones de euros para Facebook.

La nueva legislación no modificará el modelo de negocios de estas compañías, pero sí implicará un cambio de mentalidad dentro de las empresas para que no vuelva a ocurrir un caso como el de Cambridge Analytica. Especialistas consultados por ámbito.com comentaron que el GDPR generará un "impacto positivo", pero advirtieron que aún falta bastante camino por recorrer en lo que respecta a la confidencialidad de nuestras comunicaciones.

"El nuevo reglamento puede ser útil para que quienes trabajen intensivamente con datos personales tengan más cuidado al gestionarlos, entregando más información y derechos a sus usuarios, y podamos ir generando una mejora progresiva respecto a su derecho a la privacidad", comentaron Ailidh Callander y Francisco Vera, integrantes de Privacy International, una organización con base en Londres dedicada a al monitoreo global de la protección a la privacidad.

Por su parte, Diego Naranjo, abogado español especializado en derechos humanos que trabaja como consultor de políticas de protección de datos personales en ERI (European Digital Rights) sostuvo que el GDPR "cubre la legislación de datos personales" pero que "la confidencialidad está cubierta por la directiva de ePrivacy que se podría aprobar este año".

En ese contexto, el especialista anticipó que se trata de otro reglamento que complementaría al del GDPR en lo que respecta a la privacidad y confidencialidad de las comunicaciones: "Con este futuro reglamento los chats de Facebook, por ejemplo, estarían cubiertos".



El caso Cambridge Analytica provocó que Mark Zuckerberg tuviera que dar explicaciones ante el Congreso de Estados Unidos, algo impensado no mucho tiempo atrás. Durante dos audiencias en el Capitolio, el CEO de Facebook explicó el modelo de negocios de la red social usada por más de dos mil millones de personas y admitió que la plataforma no protegió adecuadamente la privacidad de los usuarios.

El propio Zuckerberg anunció controles adicionales basándose en los nuevos estándares europeos. De esta manera, la red social implementaría los estándares del GDPR para proteger los datos de sus usuarios. Sin embargo, a los pocos días la compañía anunció el cambio de domicilio legal de Irlanda a Estados Unidos por los que unos 1.500 millones de usuarios no europeos finalmente no estarán alcanzados por la legislación europea.

"Lo que Facebook decía de adaptarse a los estándares de Europa era una falacia. Los datos en Irlanda serán solo los de la UE y el resto se los van a llevar a otros sitios donde no alcance el GDPR", analizó Naranjo. En ese contexto el especialista explicó: "Los datos de los usuarios del resto de la población mundial van a quedar desprotegidos y van a haber unos derechos de segunda clase".

Asimismo, Callander y Vera alertaron que si bien la marcha atrás de Facebook para adaptarse a los estándares europeos "no abre las puertas a un nuevo caso similar al de Cambridge Analytica", los datos personales quedarían regulados por "la permisiva legislación de Estados Unidos que tiene estándares más bajos que la mayoría de los países de Sudamérica".

Los cambios a nivel europeo también tendrán repercusiones para la región. Las regulaciones sobre datos personales en México, Colombia, Perú, Uruguay y la Argentina fueron creadas siguiendo el modelo de la directiva europea. Por lo tanto, estos países tendrán que adaptar sus legislaciones si quieren mantener o acceder a recibir flujos de datos personales desde Europa a partir de la entrada en vigor del GDPR.

Vale recordar que la ley de protección de datos argentina nació con el desembarco de las empresas de telecomunicaciones en los noventa. La vinculación a esos estándares posibilita, entre otras cosas, que no haga falta un convenio bilateral para comerciar entre la UE y nuestro país. En caso de que se decida actualizar la ley de datos personales sería una buena oportunidad abrir la discusión sobre un proyecto de reforma impulsado por asociaciones civiles locales vinculadas a la protección de datos.

Dejá tu comentario