Dos semanas en la fase de aplicación de GDPR, ¿y ahora qué?

Finalmente sucedió. El Reglamento General de Protección de Datos finalmente entró en su fase de aplicación el 25 de mayo de 2018, con memes y todo.

A pesar de lo que temían muchos anunciantes, el mundo no llegó a su fin después de que GDPR entró en su fase de aplicación. Pero cambió. Crédito de la ilustración: Enseñar privacidad

¿Estaba preparada la industria? ¿Fueron suficientes esas actualizaciones de políticas de última hora ? ¿Que pasa ahora? En esta publicación de blog, echamos un vistazo a cómo los principales actores se prepararon para la fecha límite, lo que vendrá con el RGPD y cómo su empresa puede trabajar para lograr el cumplimiento de aquí en adelante.

Primeros golpes en los jugadores más grandes

Las empresas más grandes no tardaron mucho en sentir el aguijón de los litigios. Solo unos minutos después de que GDPR entró en vigencia , el activista de privacidad Max Schrems y su organización None of Your Business atacaron a Google y Facebook con demandas alegando "consentimiento forzado". Las demandas alegan el incumplimiento de las reglas de GDPR sobre el consentimiento particularizado, porque estas empresas les dan a los usuarios una opción de todo o nada (aceptar estos términos para acceder a este servicio) en lugar de permitirles aceptar algunos términos y no otros.

Google y Facebook respondieron insistiendo en que han tomado las medidas adecuadas para cumplir con el RGPD.

Luego, el grupo francés de derechos digitales La Quadrature du Net hizo lo mismo , presentando quejas adicionales contra Google, Facebook, Apple, Amazon y LinkedIn. Las denuncias son similares a las realizadas por Schrems y alegan violaciones mediante el uso del consentimiento forzado. La Quadrature también planea presentar quejas formales contra Android, WhatsApp, Instagram, Skype y Outlook, aunque al momento de escribir este artículo aún no ha tomado medidas oficiales.

Cómo se prepararon Apple, Facebook y Google

Si bien es difícil decir si las quejas realmente sorprendieron a alguna de estas empresas, muchas de ellas comunicaron una sensación general de preparación en los días previos a la aplicación.

Apple , por ejemplo, a fines de mayo de 2018 presentó un nuevo sitio web que muestra a los clientes qué datos personales tiene sobre ellos. Los clientes de Apple en la UE ahora pueden solicitar ver estos datos, desde el historial de inicio de sesión hasta contactos, calendario, notas, fotos y documentos. Los clientes también pueden corregir datos, desactivar su cuenta y eliminar toda la información. (Apple actualmente ofrece este servicio solo en países de la UE, Islandia, Liechtenstein, Noruega y Suiza, pero dice que planea expandirse a otros países a finales de este año).

En abril de 2018, Facebook actualizó su sitio web con versiones más claras de sus términos de servicio y política de datos , dando a los usuarios siete días para proporcionar comentarios sobre el nuevo lenguaje antes de finalizar y pedir a los usuarios que lo acepten. Facebook también reveló que revisaría y simplificaría los controles de la aplicación para que las configuraciones sean más fáciles de encontrar, y dijo que "en lugar de tener configuraciones distribuidas en casi 20 pantallas diferentes, ahora se puede acceder a ellas desde un solo lugar".

Google fue uno de los primeros actores, ya que realizó actualizaciones relacionadas con GDPR y notificó a los usuarios más de seis meses antes de la fecha límite de GDPR. Las actualizaciones más significativas se realizaron en las modificaciones de procesamiento de datos y términos de seguridad para G Suite y Google Cloud, lo que los hace más fáciles de entender para cumplir con el requisito de "aviso claro y transparente" de cómo se utilizarán los datos. Otras actualizaciones incluyen nuevas opciones y capacidades para exportar datos.

lo que está por delante

El impacto total del RGPD aún no se ha determinado y, en parte, dependerá de la intensidad con la que los clientes y los grupos activistas ejerzan sus nuevos derechos. En una encuesta de Forrester de agosto de 2017 a consumidores del Reino Unido, el 51 % de los encuestados dijo que era al menos algo probable que ejerciera sus nuevos derechos en virtud del RGPD. Sin embargo, el ejemplo más común citado fue la eliminación de datos, muy lejos de las demandas en toda regla.

Pero la conclusión más importante de esta nueva regulación no es que más consumidores estén examinando a las empresas, sino que más empresas están examinando a otras empresas. Debido a que GDPR exige responsabilidades compartidas para todas las partes que tocan los datos personales, las empresas están analizando los procesos y las acciones de sus socios comerciales mucho más a fondo. Esa es la verdadera genialidad del RGPD, según explica Simon McGarr, Director de Cumplimiento de Datos en Europa, en un artículo reciente de Quartz :

“Europa tiene muchas autoridades de protección de datos, pero no las suficientes para ir llamando a todas las puertas. Por lo tanto, tienen una estructura de cumplimiento de varios niveles integrada en la ley en la que terminas con grandes empresas que imponen el cumplimiento a las pequeñas empresas, y así sucesivamente”.

Es posible que las empresas menos preparadas de lo que esperaban después del 25 de mayo ya estén sintiendo la presión de sus socios comerciales, y el experto en seguridad cibernética Elliot Rose predice que habrá muchas organizaciones que todavía se están poniendo al día después de la fecha límite. Para aquellos en esta situación, la primera prioridad es abordar las áreas de alto riesgo que manejan información confidencial. Las empresas deben centrarse en proteger los datos confidenciales, investigar dónde se almacenan y quién tiene acceso a ellos. Lo importante es tener un plan en marcha y ponerse en marcha lo más rápido (y con precisión) posible.

mantenerse preparado

En última instancia, el RGPD ayudará a igualar el campo de juego en lo que respecta a la privacidad y la transparencia, y abrirá las puertas a la comunicación donde antes estaban cerradas. Como empresa, aquí hay algunos pasos que puede seguir para mantener la conversación:

Evaluar cómo se procesan legalmente los datos

¿Cuenta con el consentimiento de sus usuarios finales? ¿Es específico, inequívoco y dado libremente? ¿Tu experiencia de usuario final deja esto claro? ¿Tiene un interés legítimo para recopilar, procesar y almacenar los datos? Si no puede responder a cada pregunta con un “sí”, es hora de dar un paso atrás.

Actualizar todos los avisos necesarios

¿Ha revisado sus políticas de privacidad, avisos u otra información actual que proporciona a los usuarios finales? ¿Están estos avisos importantes en el punto de recogida? Es posible que sea necesario revisar todos los avisos de privacidad para que la recopilación, el uso y el almacenamiento de sus datos sean transparentes para los usuarios finales.

Adoptar protocolos de acceso a datos, derecho a la corrección y derecho al olvido

Estos principios permiten que sus usuarios finales corrijan datos personales obsoletos o inexactos y que se eliminen por completo del procesamiento. Se deben implementar y mantener políticas y procedimientos internos para responder adecuadamente a dichas solicitudes.

Usar datos seudónimos o anónimos

Considere eliminar o limitar los identificadores únicos a través de la anonimización o seudonimización de los datos. Algunas técnicas incluyen hashing, salting, encriptación y el uso de tokens. Esto puede ayudar a minimizar el potencial de identificación futura de usuarios finales y también puede ayudar a minimizar sus obligaciones de cumplimiento.

Para obtener más información sobre TUNE y el RGPD, lea nuestra página aquí .