'Una parte fundamental del GDPR es la transparencia', Sheila M. Fitzpatrick, NetApp

  • Seguridad

Sheila Fitzpatrick NetApp

Sheila M. Fitzpatrick, Worldwide Legal Data Governance & Data Privacy Counsel and Chief Privacy Officer de NetApp, opina sobre la situación de las empresas ante el Nuevo Reglamento Europeo de Protección de Datos.

Esta entrevista es parte de las realizadas para la elaboración del reportaje En Portada de IT User de febrero de 2017. Puedes descargarte la revista aquí.

En 2018 entra en vigor la nueva ley europea de protección de datos.  ¿Qué implicaciones va a tener para todas las empresas?

 El GDPR representa un cambio enorme en la regulación sobre la recopilación y el uso de los datos.  Es la mayor revisión de las leyes para la protección de datos realizada en casi 20 años.  El GDPR va a afectar a todas las personas y a todas las organizaciones dedicadas a la recopilación, procesamiento, acceso, distribución, almacenamiento, alojamiento y/o transferencia de datos personales europeos, tanto dentro como fuera de Europa.  Uno de los aspectos más problemáticos del GDPR es su extraterritorialidad. Este nuevo reglamento se va a aplicar a todos los países y a todas las jurisdicciones. Una de las piezas centrales del GDPR es la economía digital, por lo que su implantación afectará a todos los negocios, y no solo en Europa. 

El GDPR incorpora unas nuevas normativas prescriptivas sobre los mecanismos que deben utilizar las organizaciones para demostrar su cumplimiento. Las empresas deben adoptar verdaderamente unos estándares de gobernanza y responsabilidad y no limitarse únicamente a hablar sobre las obligaciones relacionadas con la privacidad de los datos, porque, por el contrario, podrían verse sorprendidas por las nuevas y elevadas sanciones que se van aplicar para garantizar el cumplimento del nuevo reglamento. 

Las estrategias y los puntos de vista de las organizaciones para el cumplimiento del GDPR necesitarán abarcar los tres componentes clave que refleja el reglamento: una nueva ruta para el cumplimiento, un nuevo marco de transparencia y un nuevo plan de sanciones, imposiciones y acciones.

¿Cuáles son los principales aspectos que deben tener en cuenta los negocios con esta nueva normativa?

Aunque el GDPR tiene muchos nuevos aspectos, los más críticos y problemáticos para las compañías serán los siguientes:

  • El amplio impacto mundial del Reglamento, ya que va a afectar a cualquier compañía en cualquier lugar del mundo con acceso a los datos personales de un ciudadano de la UE, independientemente de si la organización tiene presencia en la Unión Europea.
  • Los exigentes requisitos para obtener consentimiento explícito, aportado libremente e inequívoco de la persona, antes de recopilar cualquier dato personal.
  • Las nuevas obligaciones de los suministradores o de los procesadores de datos de terceras partes que, ahora, serán responsables de cumplir con el GDPR.  Los encargados del procesamiento de los datos ya no podrán pasar la responsabilidad única para el cumplimiento de la privacidad de los datos a los controladores de los datos.  Esto representará una dificultad especial para los suministradores en la nube, que se han mostrado reticentes a aceptar cualquier responsabilidad para el cumplimiento de la privacidad.
  • El nuevo requisito de 72 horas para notificar una violación de datos.
  • El requisito para implantar una “privacidad por diseño”, lo que significa que la privacidad ya no va a poder ser una idea de último momento.  Las compañías deben entender claramente los datos que son absolutamente necesarios para ofrecer un servicio o unos servicios y para gestionar las relaciones empresariales, además de para garantizar que todas las decisiones tecnológicas se ocupen y satisfagan las obligaciones establecidas en las leyes sobre protección de datos.  También deben entender que la seguridad NO es sinónimo de privacidad.  La seguridad es un componente de la privacidad, pero no garantiza el cumplimiento del Reglamento.
  • La obligación del derecho al olvido será uno de los requisitos más difíciles que tendrán que satisfacer las organizaciones. Estas deben saber dónde guardan todos los datos para poder destruirlos cuando la persona ejecute su derecho a la eliminación de datos.  Esta será una tarea difícil, especialmente para los datos guardados en la nube, en donde pueden existir replicaciones desconocidas por las organizaciones.
  • Por último, las organizaciones no pueden ignorar las nuevas sanciones, que pueden alcanzar los 20 millones de euros o un 4% de los ingresos mundiales de la compañía si no cumplen con lo establecido en el Reglamento.

La nueva ley, ¿va a conllevar nuevas herramientas tecnológicas para su cumplimiento?

Aunque el GDPR es, principalmente, un tema relacionado con el cumplimiento legal y no un asunto relacionado con la tecnología o las TI, la tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento. El GDPR tiene unos requisitos nuevos para hacer que las empresas se responsabilicen más de sus prácticas relacionadas con los datos, incorporando nuevas responsabilidades, como la protección por diseño, la protección de los datos por defecto, las obligaciones para guardar los datos, el conocimiento de los flujos de datos, las transferencias a través de fronteras y el derecho a ser olvidado, lo que requerirá unas soluciones tecnológicas que no solo se ocupen de la seguridad y que ignoren la privacidad. Las valoraciones sobre el impacto de la protección de datos, además de las valoraciones del impacto de la seguridad, van a cambiar la toma de decisiones.

Las soluciones tecnológicas ya no se pueden elaborar únicamente teniendo en cuenta costes, flexibilidad, escalabilidad y lo que sea mejor para el departamento de TI.  La privacidad será ahora la pieza central y principal de todas las decisiones.  El Director de Privacidad (Chief Privacy Officer) tendrá un lugar en el equipo directivo, junto al Director de Sistemas de  Información (Chief Information Officer) y el Director de Seguridad de la Información (Chief Information Security Officer).  Este nuevo enfoque puede suponer toda una novedad para algunas organizaciones y puede representar una curva de aprendizaje importante.

¿Cuál sería, en su opinión, la infraestructura tecnológica básica que deben tener todas las empresas para cumplir con esta normativa?

No puedo responder a esta pregunta desde un punto de vista estrictamente tecnológico.  Creo que las compañías deben dar un paso atrás y examinar este asunto a un nivel más holístico.  Las organizaciones necesitan entender que la seguridad no es sinónimo de privacidad.  La seguridad es un componente de la privacidad y la privacidad es el ciclo de vida completo de los datos, desde su recopilación a la destrucción, además del marco normativo y legal que define cómo deben ser tratados los datos.  Muchísimas compañías solo se centran en la seguridad y piensan que, encriptando los datos o levantando una muralla alrededor de ellos para protegerlos de accesos y usos no autorizados, garantizan el cumplimiento de las normativas sobre privacidad.  Sin embargo, sin ocuparse por adelantado y con un análisis pormenorizado del cumplimiento de las normativas sobre privacidad de datos, la seguridad no va a servir de ayuda, porque las organizaciones levantarán defensas alrededor de los datos a los que, en primer lugar, nunca tenían permiso legal para recopilarlos.  Para avanzar en este terreno, la nueva infraestructura debe comenzar con el cumplimiento y el análisis pormenorizado de la privacidad de los datos para, posteriormente, tomar decisiones sobre las infraestructuras técnicas.  La nueva tecnología debe satisfacer los requisitos para privacidad y no solo los requisitos de  seguridad.

Este nuevo marco regulatorio, ¿clarifica las oportunidades de negocio a nivel europeo, eliminando complejidades?

La intención del GDPR es la armonización de los requisitos para la privacidad de datos en todos los 28 estados miembros, para facilitar a las compañías sus operaciones de forma coherente en Europa.  Sin embargo, algunos estados miembros ya están oponiendo resistencia e indican que el GDPR no es tan restrictivo como sus propias leyes nacionales.  El precedente de esta resistencia se estableció en octubre de 2015, cuando el Tribunal Europeo de Justicia (TEJ) invalidó el Marco Safe Harbor (Puerto Seguro) de la Unión Europea y EE.UU. sobre privacidad de los datos (EU-US Safe Harbor Framework).  Uno de los factores decisivos fue que la resolución del TEJ a la hora de indicar que la Comisión Europea no puede hacer cumplir unas leyes que entren en conflicto o que sean menos restrictivas que las leyes nacionales.  Aún está por ver si las dificultades actuales para gestionar las leyes en varias jurisdicciones van a surgir de nuevo con el GDPR.

¿Es una buena respuesta a las actuales necesidades empresariales, especialmente a nivel tecnológico?

Pienso que, básicamente, será una buena respuesta a las necesidades empresariales actuales porque, cuanto más respeten las compañías el derecho fundamental del individuo a la privacidad y a los productos creados teniendo esto en cuenta, los individuos estarán más dispuestos a compartir sus datos personales necesarios para gestionar las relaciones empresariales.  Una parte fundamental del GDPR es la transparencia.  Cuanta más transparencia tengan las organizaciones a la hora de recopilar, usar, procesar, distribuir, almacenar y transferir datos personales, más confianza se establecerá con los empleados, clientes, partners, etc.  La tecnología será el mecanismo para hacer todo esto realidad, mediante la creación de soluciones que faciliten esta transparencia.

Los datos son el oro del siglo XXI. En lo que a su utilización como negocio, hay dos grandes corrientes: una más europea de protección y otra más estadounidense de menor regulación. ¿Cuál es su opinión al respecto?

Los datos son los bienes más importantes de una compañía, pero, al mismo tiempo, pueden llegar a convertirse en sus mayores problemas. La diferencia filosófica entre el derecho fundamental a la privacidad de la UE y la libertad de información de los EE.UU. se manifiesta cuando analizamos la recopilación, el procesamiento, el acceso, la distribución, el almacenamiento y la transferencia de los datos personales.  Pienso que las dos filosofías pueden coexistir y que la transparencia es la clave para esta existencia.  Las compañías necesitan ser totalmente transparentes sobre los datos personales que necesitan de forma esencial para gestionar las relaciones empresariales. Siendo totalmente sinceros a las personas sobre los datos que se necesitan, para qué se usan, cómo y dónde se precisan, quién tiene acceso a ellos y el tiempo que se va a garantizar su mantenimiento, las compañías podrán cumplir con sus obligaciones establecidas con los reglamentos de la UE y, además, podrán seguir operando en EE.UU. Estoy siempre sorprendida de ver la gran cantidad de compañías estadounidenses que intentan evitar las leyes sobre privacidad de datos.  Dedican una gran cantidad de tiempo, dinero y energía tratando de evitar las leyes cuando resulta mucho más fácil y más efectivo adoptar y cumplir dichas normas.  No se dan cuenta de que el cumplimento puede ser una ventaja competitiva.

¿Corre Europa (y con ella las empresas del Viejo Continente) el riesgo de quedar a la cola de la innovación si no somos tan flexibles como EE.UU.? ¿Por qué?

Respuesta: No, realmente creo que no.  ¿Por qué el respeto al derecho fundamental de un individuo tiene que reprimir la innovación?  El respeto a este derecho fundamental debería fomentar la creatividad y la innovación mediante el desarrollo de una tecnología que protege la información personal del individuo, recopilando, procesando y almacenando los datos absolutamente necesarios para hacer crecer las empresas.  La privacidad no debería verse como algo negativo a la hora de hacer negocios, sino como un elemento atractivo e impulsor para el desarrollo de una nueva tecnología que beneficia tanto a las compañías como a sus empleados, clientes (actuales y futuros) y partners. La adopción de las leyes para privacidad de datos puede (tanto desde un punto de vista legal como técnico) ser uno de los mayores bienes de una compañía, además de definir su ventaja competitiva a escala mundial.

Puedes leer el resto de las entrevistas en estos enlaces:

'El Reglamento busca consolidar la política de privacidad en las empresas', Acens

'La innovación no está reñida con la defensa de la privacidad y la protección de datos', Mar España, AEPD

'Cuando se trabaja con algo tan sensible como los datos, es indispensable que haya garantías legales', Check Point

'Sin seguridad, no habrá confianza en la innovación y por ende, en la transformación empresarial', Oracle

'Es más importante que nunca que estos datos se mantengan a salvo y que las empresas cumplan con ciertos niveles de seguridad', SonicWALL

TAGS Opinión, Protección de datos

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO