Guía del nuevo RGPDUE para empresas de Tecnología, Medios y Telecomunicaciones

El 14 de abril de 2016 el Parlamento Europeo votó a favor de adoptar un nuevo Reglamento General de Protección de Datos (RGPDUE), que entrará en vigor el próximo 25 de mayo de 2018. El objetivo del nuevo reglamento es armonizar las leyes de los diferentes países en materia de protección de datos, reforzar las obligaciones de los usuarios y mejorar sus derechos:

• El nuevo reglamento se aplicará a todas las empresas que procesan datos personales de ciudadanos de la Unión Europea, y no solo a aquellas que están dentro de la Unión Europea.

• Podrán llegar a aplicarse multas de hasta 20 millones de euros o un 2-4% del volumen de negocios global de la empresa.

• Impone un margen de 72 horas para que las empresas denuncien un determinado incumplimiento en caso de que haya algún riesgo para las personas afectadas.

• Requiere que las personas den su consentimiento inequívoco para que se procesen sus datos.

• Ofrece a las personas el “derecho al olvido”.

• Se establece la privacidad por defecto: la privacidad ya no podrá plantearse de manera tardía cuando se desarrollan nuevos productos.

• Se aplican las mismas reglas a quienes procesan que a quienes gestionan los datos.
• Requiere que las empresas que procesan los datos de forma sistemática nombren un responsable de protección de datos.

En este contexto, ¿a qué retos se enfrentan las empresas de Tecnología, Medios y Telecomunicaciones ante el nuevo RGPDUE?

1. Personalización de la experiencia del usuario

Preservar la integridad y la seguridad de los datos de los clientes es un tema central para las empresas del sector TMT, ya que cada vez recogen más datos personales de sus clientes para adaptar sus propuestas y tener una ventaja competitiva.

Gran parte de esta adaptación de las propuestas se basa en la información que proporcionan los datos personales (es decir, aquellos que permiten identificar a un individuo, directa o indirectamente). ¿Y qué dato puede considerarse como “identificador”? La nueva Ley establece identificadores en línea (como la dirección IP) o datos de localización.

2. Atracción y retención de talento

El nuevo puesto de “Responsable de protección de datos” en las empresas deberá ocuparse, al menos, de las siguientes funciones:

• Informar y asesorar a los empleados y organizaciones sobre sus obligaciones relacionadas con el nuevo RGPDUE

• Supervisar el cumplimiento y gestionar las actividades que tengan que ver con la protección de datos, incluyendo la evaluación del impacto de la nueva ley en su empresa.

• Formar a los empleados.

• Realizar auditorías.
• Coordinarse con las autoridades y personas relacionadas con el RGPDUE.

La recomendación general es que el responsable de protección de datos reporte directamente a la junta directiva de la empresa y que se le proporcionen todos los recursos necesarios para que pueda llevar a cabo sus tareas de manera óptima. En este sentido, será fundamental que las organizaciones no se tomen este nuevo puesto a la ligera o como una simple obligación “sobre el papel” para satisfacer las demandas de la nueva regulación.

En un momento en que muchas empresas del sector TMT están luchando para atraer y retener a los mejores talentos, encontrar un responsable de protección de datos no será sencillo. La Association of Privacy Professionals estima que, solo en Europa, se necesitarán al menos 28.000 personas para cubrir puestos relacionados con el nuevo reglamento.

3. Reputación en un mundo en rápido movimiento

El coste financiero de no cumplir con el RGPDUE está muy bien documentado en la nueva regulación: un 4% del volumen global de negocio de la empresa como parte de la multa es, sin duda, una cantidad importante como para que el cumplimiento de la nueva Ley sea un aspecto que deba revisarse a nivel de la junta directiva.

Pero además de los daños económicos, deben considerarse también los reputacionales. ¿Imaginas la repercusión mediática para que una empresa no esté cumpliendo con sus obligaciones en materia de protección de datos? Ya hay ejemplos que ilustran la respuesta: en el año 2015, una empresa del sector de las telecomunicaciones sufrió una violación de sus datos; en una sola semana, se enviaron 200.000 tweets sobre el tema. ¿El coste para esta empresa? Nada menos que 101.000 clientes perdidos. En un sector como el de las telecomunicaciones, con una competencia feroz, un cliente que pierde la confianza en la seguridad de sus datos es un cliente que buscará y encontrará otro proveedor en el mercado.

Una de las novedades que trae la llamada “privacidad por diseño” es la de examinar las medidas que está tomando una empresa que acaba de sufrir un ciber ataque. Las brechas existen y seguirán existiendo, pero si una organización reacciona de manera proactiva y adecuada, la regulación lo tendrá en cuenta a la hora de determinar la multa.

4. El cumplimiento del nuevo RGPDUE como ventaja competitiva

La nueva legislación tiene como objetivo ayudar a los ciudadanos y organizaciones a navegar con seguridad y confianza en un mundo digital cada vez más complejo. Si bien puede ser fácil considerar el nuevo reglamento como una nueva carga administrativa, lo ideal es verlo desde una perspectiva comercial. Mostrarse antes nuestros clientes y leads como una empresa que genera confianza y es capaz de salvaguardar la privacidad de los datos personales será una ventaja competitiva y un reclamo para retener y conseguir más ventas.