Ya ha pasado un año desde el 25 de mayo de 2018, fecha en la que el esperado Reglamento General de Protección de Datos (GDPR) de la Comisión Europea (CE) entró en vigor y pasó a ser de obligado cumplimiento.
Desde el principio, el GDPR ha despertado miedo, incertidumbre y dudas. Sin embargo, ya es hora de que la conversación evolucione y pase del ruido sin sentido a un nivel superior de debate.
A lo largo de estos últimos doce meses, el reglamento GDPR, que reemplaza a la anterior Directiva de Protección de Datos de 1995, ha mostrado dos aspectos clave a tener en cuenta: es muy específico y “muerde”.
El impacto de estos dos aspectos se puede apreciar en el hecho de que ahora el reconocimiento de la privacidad de los datos en todo el mundo está al mismo nivel que los derechos humanos básicos.
No solo es lógico que cualquier empresa que procese datos quiera cumplir el reglamento GDPR, además ahora la UE le obliga a hacerlo. Esto se puede ver como un paso hacia adelante y un éxito para el sector tecnológico.
La tecnología no podrá aprovechar todo su potencial hasta que los consumidores no estén convencidos de que disponen de la seguridad y privacidad que necesitan para sus datos.
La privacidad de los datos se vuelve muy especifica
Una de las características más virtuosas del GDPR es su especificidad. Expone de forma clara a quién presta servicio, quién debe cumplirlo, qué requiere y cuáles son las penalizaciones y sanciones en caso de incumplimiento. Por eso, la gente ha empezado a considerar que la privacidad de los datos es un derecho humano básico, exactamente igual que la libertad de expresión.
El motivo de este cambio radical es que el reglamento GDPR hace que tanto personas como empresas sean conscientes de este tema. Del mismo modo que tras los trágicos acontecimientos del 11 de septiembre se implantaron puertas de seguridad en las cabinas de los pilotos de vuelo, el reglamento GDPR ha dado lugar a una serie de cambios específicos y fundamentales que han modificado la manera en la que se gestiona, regula y comunica la confidencialidad de los datos.
Otra cifra interesante revela que las empresas entienden mejor la confidencialidad de los datos, dado que se han registrado 41.000 notificaciones de violación de la seguridad de los datos emitidas por las propias empresas.
Según cifras oficiales de la CE, se han registrado más de 95.000 quejas relacionadas con el GDPRde ciudadanos, lo que demuestra que las personas son ahora más conscientes de si se respeta o no su derecho a la privacidad de los datos.
Otros impactos tangibles relacionados con el GDPR son la reducción en el uso de cookies de seguimiento de terceros en sitios web y un mayor recelo dentro de la cadena de suministro de marketing.
El Reuters Institute for the Study of Journalism informóde un descenso del 22 % en el uso de cookies tres meses después de la entrada en vigor del GDPR, mientras que las empresas de publicidad digital, los anunciantes y las agencias han empezado a modificar los contratos para evitar sanciones por incumplimiento de la protección de datos.
Así que, del mismo modo que tenemos puertas con sistemas de bloqueo en las cabinas de los aviones para aumentar la seguridad en los vuelos sin que por ello se vea afectada de manera negativa la experiencia del viajero, las consecuencias del GDPR han sido invisibles y significativas.
Cisco research ha descubiertoque el 75 % de los consumidores obtiene mayores beneficios de las inversiones que se han llevado a cabo para garantizar la privacidad, incluyendo una mayor agilidad e innovación, que son el resultado de una mejor gestión de datos.
El reglamento GDPR enseña los dientes
Una de las razones más importantes por las que el reglamento GDPR ha causado tanto revuelo fuera de los sectores dedicados a la privacidad de datos y la asesoría jurídica de empresas tiene que ver con las importantes sanciones por incumplimiento.
La CE puede sancionar las infracciones graves con cuantías de hasta 20 millones de euros o el 4 % de la facturación anual de la empresa, la cantidad que sea mayor, si se demuestra que han incumplido cualquier parte del reglamento.
Además, los reguladores de la confidencialidad de los datos ya han aplicado estas medidas. De acuerdo con las cifras de la CE, se han registrado 91 sanciones durante los primeros ocho meses en los que ha estado el GDPR en vigor.
La sanción más conocida de este tipo de penalización económica ha sido la que impuso la Comisión Nacional Francesa de Protección de Datos a Google por un total de 50 millones de euros en enero de 2019. Las autoridades alemanas también han impuesto 40 sanciones de menor cuantía por incumplimiento del reglamento GDPR.
Además de multas, que pueden resultar un problema muy serio para las pequeñas empresas con menos fondos que para las multinacionales que gestionan enormes cantidades de datos, hay otro elemento disuasorio más sutil que no se debe olvidar: el daño a la reputación.
Ahora que la confidencialidad de los datos se ve cada vez más como una libertad civil básica, ninguna empresa, independientemente de su tamaño, se puede permitir el estigma que comporta el ser acusado de no respetar este derecho.
¿Qué pasará ahora con el GDPR?
No se producirá un cambio radical desde el punto de vista de reglamento cara al año que viene. Básicamente, el GDPR funciona. El resultado es que podemos esperar más de los reguladores de la privacidad de los datos: más sanciones, multas más elevadas y un mayor esfuerzo por desvelar si se ha producido un incumplimiento.
Lo más interesante es el tipo de conversaciones que surgen a raíz del GDPR entre los directores de los departamentos de informática, puesto que esto ocasionará cambios de ámbito mundial, sobre todo en lo que respecta a las prácticas relacionadas con la confidencialidad de los datos en países como China o Estados Unidos.
Seguiremos viendo cómo la CE pone a prueba la capacidad de respetar la privacidad de los datos y también seremos testigos de un cambio en el modo en que las empresas usan los datos personales.
Los datos son una parte vital de los negocios en la era digital, a pesar de los ejemplos de algunas empresas que tras la entrada en vigor del GDPR han optado por borrar bases de datos de usuarios por entero.
Los datos que se recopilan hoy podrán ser explotados para obtener información mañana que permita crear mejores experiencias para los usuarios, desarrollar productos que realmente hagan frente a las necesidades del mercado y que premien la lealtad de los consumidores.
A medida que los usuarios son cada vez más conscientes de sus derechos, se reduce la tolerancia hacia las empresas que recopilan datos sin respetar su privacidad.
Por lo tanto, las empresas que no cumplan con la confidencialidad de los datos, que no incluyan la privacidad como un elemento más de su cultura de empresa, se enfrentarán a la opinión negativa de los consumidores además de a importantes sanciones de los reguladores.
En Veeam creemos que la protección y privacidad de los datos no solo debería ser una casilla por marcar en la lista de tareas a completar o algo que se hace dado que es obligatorio.
Cumplir con el reglamento GDPR es un proceso continuo y no debemos aspirar a conseguirlo solo para evitar las sanciones o para librarnos de algo. Las empresas deberían sentirse orgullosas cuando entienden, gestionan y protegen los datos.
El cumplimiento es en realidad un paso más en el caminopara ser una empresa impulsada por datos, una empresa que busca constantemente nuevas formas de aprovechar la información para crear mejores productos, servicios y experiencias para los clientes.
Por: Danny Allan, vicepresidente de estrategia de producto, Veeam