A pocos meses después de la implementación de la Regulación General de Protección de Datos por la Unión Europea en Mayo de 2018, las empresas están siendo inundadas por consultas de GDPR sobre el uso de su información personal. A pesar del requisito legal de resolver la consulta en el plazo de un mes después de recibir la solicitud, muchas empresas no son capaces de dar una respuesta adecuada a tiempo.
La Regulación General de Protección de Datos, abreviada como GDPR en inglés, fue implementada para todos los miembros de la Unión Europea con el objetivo de imponer nuevos requisitos sobre la forma en la que las compañías recogen, almacenan, y utilizan los datos de los usuarios. La regulación pasó por 4 años de evaluación y preparación antes de ser aprobada por el Parlamento Europeo, y fue diseñada para reemplazar la Directiva de Protección de Datos adoptada en 2018, ya obsoleta e incapaz de gestionar la privacidad de los ciudadanos comprometida por las nuevas tecnologías.
Las empresas, las cuáles se enfrentan con el riesgo de sufrir graves multas por incumplimiento con la regulación (hasta el 4% de la facturación global o €20m, lo que sea mayor), han empezado a reportar un incremento significativo en las consultas de GDPR por parte de los usuarios respecto a su información personal.
Muchas empresas están posponiendo su respuesta a las consultas de GPDR
Bajo la Regulación General de Protección de Datos, la cual promociona la transparencia y la protección de datos personales, los ciudadanos de la Unión Europea tienen el derecho de saber cómo las empresas utilizarán su información, y con qué propósito. Sin embargo, mientras muchos negocios se están retirando directamente del mercado europeo para evitar los altos costes de cumplimiento, otros todavía están luchando por cumplir con todos los requisitos impuestos.
Empresas como Netflix, Yoox Net-a-Porter y Marriott todavía no han proporcionado respuesta a consultas de GDPR solicitadas a finales de mayo, a pesar de su obligación de hacerlo en el plazo de un mes después de que la solicitud haya sido enviada. La cadena hotelera Marriott pidió extensión a este plazo debido a su incapacidad de gestionar el alto volumen de solicitudes que están recibiendo.
Facebook no ha podido escapar la tormenta tampoco, confirmando un aumento de tres o cuatro veces en la información solicitada por sus usuarios desde que la GDPR entró en vigor.
Las consultas de GDPR se han disparado
Comisiones en toda Europa comunican un alto número de quejas y notificaciones de brechas. La Oficina del Comisionado de Información del Reino Unido confirmó más de 1.100 denuncias de protección de datos en menos de un mes después de la implementación de la nueva regulación. La cantidad de informes es significativamente más alta que en 2017, cuando solo se reportaron 230 denuncias mensuales en promedio.
Según la Asociación Internacional de Profesionales de la Privacidad, la Comisión de Protección de Datos de Irlanda registró más de 547 notificaciones de incumplimiento, y casi 390 quejas durante el primer mes de la introducción de GDPR. Francia y República Checa tampoco se han quedado atrás, registrando más de 400 solicitudes de datos cada una.
Empresas en el sector tecnológico, medios de comunicación, comerciantes e instituciones financieros como los bancos son los sectores con el mayor número de consultas de GDPR, principalmente por el alto volumen de datos que manejan de sus usuarios.
Compañías en el sector financiero, las cuales tienen la obligación de capturar datos detallados por razones contables y de impuestos, entre otras, confirman que es difícil y oneroso cumplir con todos los requisitos en el plazo adecuado.
Las dudas más frecuentes sobre la GDPR están relacionadas con el procesamiento de datos personales sin base legal, procesamiento injusto, y solicitudes de transparencia sobre la información que las compañías mantienen sobre los usuarios.
Requisito para la trazabilidad de datos
Según el Artículo 30 de la Regulación General de Protección de Datos, Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Esto significa que las empresas tendrán que mostrar cómo y cuándo procesaron el dato, y mostrar evidencia de eso.
Normalmente, estos registros de procesamiento vienen en la forma de aplicación o logeo de seguridad que muestra todas las acciones tomadas respecto a un dato, desde su creación hasta su eliminación. Para proporcionar una trazabilidad completa de datos como lo requieren las nuevas regulaciones, las empresas desarrollan sus propias herramientas o cuentan con aplicaciones de terceros como Recordia – una solución de grabación de interacciones en la nube que viene con funcionalidades de grabar, trazar y monitorear para proporcionar transparencia sobre cuando, como, quien accedió a los datos, e incluso qué hizo con ellos.