Nadie está listo para regulación europea de protección de datos (GDPR)
‘Muy pocas compañías cumplen al 100% el 25 de mayo’
El Reglamento General de Protección de Datos entrará en vigencia el 25 de mayo y nadie está listo, ni las empresas ni los reguladores.
Después de cuatro años de deliberación, el Reglamento General de Protección de Datos (GDPR) fue adoptado oficialmente por la Unión Europea en 2016. La regulación les dio a las compañías una pista de dos años para cumplir, lo que teóricamente es mucho tiempo para lograr una buena operación. La realidad es más desordenada. Al igual que los documentos a plazo y las declaraciones de impuestos, hay personas que lo hacen temprano, y luego está el resto de nosotros.
En la reunión de hoy con el Parlamento Europeo, Mark Zuckerberg dijo que Facebook cumpliría con GDPR antes de la fecha límite, pero de ser así, la compañía sería una minoría. «Muy pocas empresas van a cumplir al 100% el 25 de mayo», dice Jason Straight, abogado y director de privacidad de United Lex, una compañía que establece programas de cumplimiento GDPR para empresas. «Las empresas, especialmente las estadounidenses, definitivamente están luchando aquí en el último mes para prepararse». En una encuesta de más de 1.000 empresas realizada por el Ponemon Institute en abril, la mitad de las empresas dijeron que no cumplirían antes de la fecha límite. . Cuando se desglosa por industria, el 60 por ciento de las compañías de tecnología dijeron que no estaban listas.
GDPR es un conjunto ambicioso de normas que abarca desde los requisitos para notificar a los reguladores sobre las violaciones de datos (dentro de las 72 horas, nada menos) a la transparencia para los usuarios sobre qué datos se recopilan y por qué. «Durante muchos años ha sido, ‘¿Cuántos datos podemos engañar a las personas para que nos den?’ Y ‘¡Vamos a descubrir cómo usarlo más tarde!’ Esa ya no será una forma aceptable de operar bajo GDPR». dice Straight.
«Hay algunas compañías con las que hemos hablado, donde dicen: ‘¿Estás bromeando? Si les dijéramos cómo usábamos sus datos, nunca nos los darían en primer lugar ‘», dice Straight. «Soy como ‘Sí, ese es el punto'».
Pero tal vez el requisito GDPR que hace que todos se rasguen el pelo es la solicitud de acceso a los datos. Los residentes de la UE tienen derecho a solicitar acceso para revisar la información personal recopilada por las empresas. Esos usuarios, llamados «sujetos de datos» en el lenguaje GDPR, pueden solicitar que se elimine su información, que se corrija si es incorrecta e incluso que se les entregue en forma portátil. Pero esos datos pueden estar en cinco servidores diferentes y en cuántos formatos se conocen. (Esto supone que la empresa siquiera sabe que los datos existen en primer lugar). Una gran parte de cumplir con GDPR es establecer infraestructuras internas para que se pueda responder a estas solicitudes.
Parte del problema es cómo se configuran las empresas, y parte de eso es que la «información personal» es una categoría poco deseable. Nombres, dirección de correo electrónico, números de teléfono, datos de ubicación: esos son los obvios. Pero luego hay datos más ambiguos, como «una referencia oblicua, como el tipo alto y calvo que vive en East 18th Street». Si alguien dijera eso en un correo electrónico, esa sería la información a la que necesitaría proporcionar acceso bajo el GDPR «, dice Straight.
Para las compañías que han operado bajo el principio de «extraer tantos datos como sea posible y resolverlo más tarde», reorganizar bajo GDPR es muy parecido a un episodio de Hoarders, especialmente uno de esos episodios donde el acaparador no termina de limpiar y todo el mundo tipo de se cae llorando al final.
Esto es, de alguna manera, un resultado inevitable. Hace un año, el 61 por ciento de las empresas ni siquiera había comenzado la implementación de GDPR. Straight dice que, en general, las empresas europeas, especialmente aquellas en países como Alemania y el Reino Unido, donde existen leyes de privacidad preexistentes que se superponen con GDPR, se han adaptado mejor. (Aún así, una encuesta en enero de este año descubrió que una cuarta parte de las empresas de Londres ni siquiera sabía qué era GPDR).
Para ser justos, GDPR en su conjunto es un poco complicado. Alison Cool, profesora de antropología y ciencias de la información en la Universidad de Colorado, Boulder, escribe en The New York Times que la ley es «tremendamente compleja» y prácticamente incomprensible para las personas que intentan cumplirla. Los científicos y los administradores de datos con los que habló «dudaban de que el cumplimiento absoluto fuera siquiera posible».
No es una posición agradable en la que estar, porque GDPR puede permitir a los reguladores multar a las empresas hasta el 4 por ciento de sus ingresos globales por violaciones de GDPR. Para poner eso en perspectiva, una multa del 4 por ciento en Amazon sería de $ 7 mil millones. (Curiosamente, dado que una empresa como Amazon informa enormes ingresos y ganancias relativamente pequeñas, una multa del 4 por ciento podría costarle más de dos años de ganancias).
El fuerte golpe de GDPR podría haber incitado a Peter Thiel a acusar a Europa de promulgar un régimen legal proteccionista. «No hay empresas de tecnología exitosas en Europa y están celosas de Estados Unidos, así que nos están castigando», dijo Thiel en una conferencia en el Club Económico de Nueva York en marzo.
Debido a que gran parte de GDPR es ambigua, la forma en que funcionará en la práctica depende de lo que hagan los reguladores. Eventualmente, surgirán normas: a quién recurrirán los reguladores, qué tipo de sanciones impondrán por qué tipo de comportamiento y qué parte de ese 4 por ciento de los ingresos mundiales extraerán de los delincuentes.
La suposición general es que cuando llegue la fecha límite, los reguladores europeos la tratarán como una apertura suave, que facilitará a las compañías un período de luna de miel, mientras todos se dan cuenta de cómo va a funcionar la ley. Pero los reguladores no pueden controlar completamente lo que sucederá el 25 de mayo porque partes del GDPR son impulsadas por el usuario.
Si un residente de la UE presenta una solicitud de tema, una empresa tiene 30 días para responder. Supongamos que una empresa recibe una de estas solicitudes, pero todavía no son completamente compatibles con GDPR y literalmente son incapaces de responder. Si la empresa no responde, el sujeto de los datos puede presentar una queja ante el regulador local.
El GDPR requiere que el regulador haga algo para hacer cumplir la ley. Puede que no sea una multa del 4 por ciento, pero no pueden simplemente enviar las quejas directamente a la papelera. «Si reciben 10 000 quejas en el primer mes, van a tener problemas», dice Straight. Diecisiete de los 24 reguladores europeos encuestados por Reuters a principios de este mes dijeron que no estaban listos para que la nueva ley entre en vigencia porque aún no tenían los fondos o los poderes legales para cumplir con sus obligaciones.
Otra disposición de GDPR que podría forzar los recursos regulatorios es el requisito de notificación de violación de datos. Las empresas deben notificar a una autoridad de protección de datos relevante dentro de las 72 horas posteriores al descubrimiento, pero lo que el regulador hace después no está del todo claro. Es posible que los reguladores no estén listos para auditar la seguridad de una empresa o descubrir qué hacer exactamente para proteger a los residentes de la UE afectados por la violación. Pero aún así, tienen que hacer algo. Podrían tener cierta flexibilidad sobre cómo responder, pero el GDPR no les permitirá hacer nada.
Se supone que GDPR solo se aplica a los residentes de la UE y la UE, pero debido a que muchas empresas hacen negocios en Europa, la industria tecnológica de Estados Unidos está luchando para cumplir con GDPR. Aún así, a pesar de que el gran debut de GDPR seguramente será desordenado, la regulación marca un cambio radical en cómo se manejan los datos en todo el mundo. Los estadounidenses que no pertenecen a Europa no pueden realizar solicitudes de acceso a los datos y no pueden exigir que se eliminen sus datos. Pero el cumplimiento de GDPR va a tener efectos indirectos para ellos de todos modos. El requisito de notificación de incumplimiento, especialmente, es más estricto que cualquier cosa en los EE. UU. La esperanza es que a medida que las empresas y los organismos reguladores se instalen en el flujo de las cosas, las mayores protecciones de privacidad de GDPR se conviertan en negocios como siempre. Mientras tanto, es una lucha loca mantener el ritmo.
Autor: THE VERGE