Nuevo estándar de protección de datos en Europa alerta a empresas de todo el mundo

Tras el escándalo de filtración de datos de Facebook a Cambridge Analytica, la información personal que entregan los usuarios a los sitios web vuelve a estar en la mira, justo a días que se implemente el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) en Europa, que significará un cambio sin precedentes y con alcance mundial.

Se trata de una normativa que, en simple, busca el consentimiento explícito y robusto de los usuarios de todas las empresas que pidan antecedentes a través de Internet. Además, involucra entregar el poder a estos mismos usuarios para que puedan revocar ese consentimiento, así como solicitar acceso a cualquier información recopilada con anterioridad, esto último como una manera de verificar el alcance del consentimiento otorgado.

Lo anterior ha llevado a empresas de toda Europa y grandes multinacionales a trabajar a toda marcha en el cambio de sus políticas protección de datos, así como en el tratamiento de la información obtenida hasta el momento.

Una de las grandes complejidades son los recursos que deben disponer estas compañías para el manejo de sus bases de datos. De acuerdo a estimaciones de Senzing, firma de software con sede en California, con el GDPR en marcha una empresa puede llegar a recibir en promedio 89 consultas al mes de parte del órgano fiscalizador, para las que necesitará buscar en una media de 23 bases de datos diferentes, lo que equivale a más de 8 horas de búsqueda por jornada laboral.

Esto explica por qué menos de la mitad de las corporaciones del viejo continente cumplen a la fecha con el reglamento que entrará en vigor el próximo 25 de mayo.

Uno de los que sí ha hecho este trabajo es Apple. La tecnológica hace algunos días anunció que este reglamento será su estándar mundial. Así, a partir de mayo el sitio de Apple ID mostrará nuevas herramientas de administración de datos, las que permitirán a los usuarios obtener copias de los antecedentes guardados por la multinacional, además de tener la posibilidad de corregirlos, desactivarlos o eliminarlos. Incluso, ya se adelantó en incorporar un ícono que aparece cuando alguna función de Apple recopila información personal.

Facebook, por su parte, también anunció cambios en su política de privacidad para cumplir con la norma europea, aunque no está claro si lo adoptará como estándar global.

Las sanciones

Pero la preocupación de las empresas no sólo está en la implementación, sino en las consecuencias de violar este reglamento, que conlleva multas de hasta US$ 20 millones o el 4% de la facturación global de una empresa.

Rodrigo Lavados, socio SARGENT & KRAHN:

"El reglamento aplicará a compañías con presencia en Chile"

- ¿Cuáles son los aspectos del GDPR más complejos de implementar?

- El GDPR es una regulación extremadamente detallada que implicará cambios organizacionales profundos en distintas empresas e industrias, teniendo costos de implementación relativamente altos.

Obliga a seguir una serie de procesos concretos en el procesamiento de datos personales, como registros de control interno y notificaciones de fuga de información; crea nuevos roles dentro de organizaciones, destacando el Oficial de Protección de Datos; establece multas altas, que pueden llegar a los 20 millones de euros o el 4% de los ingresos globales de una compañía.

La GDPR está basada en el riesgo de afectación de derechos en el procesamiento de datos personales, de manera tal que industrias que procesan datos de naturaleza más sensible, como la médica, por ejemplo, estarán obligadas a muy altos estándares de cumplimiento.

Este reglamento también crea nuevos derechos, como la portabilidad de datos, y conceptos, como "procesamiento de alto riesgo" o "retrasos indebidos", que han generado incertidumbre en relación a su correcta interpretación y alcance.

Aumenta considerablemente los requisitos para considerar válida una autorización o consentimiento para el tratamiento de datos personales, lo que presenta desafíos. Por un lado, existirá la obligación de presentar la información sobre el procesamiento de manera clara, entendible e informada a los titulares de datos, pero, por otro, la GDPR obliga a entregar muchísima información, siendo un desafío cómo poder presentarla de manera inteligible. Este efecto perverso se denomina "fatiga del consentimiento", y básicamente responde a la idea que mientras más información se le presenta a una persona para que lea, entienda y pueda aceptar o rechazar, su consecuencia es minimizar las posibilidades de que efectivamente ésta sea leída, entendida y consentida informadamente.

-¿La implementación de la normativa del GDPR puede tener algún efecto en las empresas chilenas? ¿De qué tipo?

-La GDPR aplica a empresas con negocios en la Unión Europea y a aquellas que procesen datos de residentes o nacionales de países de la unión. Por lo tanto, el reglamento aplicará a empresas con presencia en Chile, en cuanto caigan en alguna de estas hipótesis. Estamos hablando de empresas multinacionales.

Ahora bien, más allá de ese efecto directo, la GDPR se ha establecido como un modelo de regulación sobre privacidad que será implementado por la mayoría de las empresas multinacionales, como un estándar mundial. Sin ir más lejos, el proyecto de ley que se discute ahora en el Congreso para actualizar la ley 19628 sobre Datos Personales, recoge varias cuestiones planteadas en la GDPR.

Es importante tener presente que regulaciones como esta generan incentivos económicos para que otros países adecuen las propias a estos altos estándares, porque la propia GDPR restringe la posibilidad de que países con estándares inferiores procesen datos de residentes de la Unión Europea. En consecuencia, si Chile quisiera ofrecer servicios de offshoring de procesamiento de datos a esos residentes (como podría ser un call center), nuestra legislación debe alcanzar un nivel de protección de derechos similar. Tampoco hay que perder de vista que este tipo de normativa también genera costos de implementación que pueden ser relevantes.

-¿Cuán lejos están las firmas locales de cumplir los estándares exigidos por el GDPR?

En general, muy lejos, salvo en el caso de firmas multinacionales con presencia en Europa. La GDPR es un estándar alto incluso para la Unión Europea, quien ya llevaba la delantera en la protección de la privacidad en el mundo. Es un regulación muy cara de implementar internamente por las empresas.

Desde el punto de vista de política pública, la pregunta que debe hacerse es la conveniencia o inconveniencia de pasar de una ley de privacidad como la actual chilena, a una con los estándares más altos del mundo, como sería la GDPR, al menos sin un adecuado proceso de transición.

La regulación sobre privacidad es por cierto muy importante para resguardar derechos legítimos de todos nosotros, pero no es inocua desde un punto de vista económico, especialmente pensando en la competitividad de distintas industrias. Por ejemplo, se ha sugerido que una de las razones que explican que las grandes compañías tecnológicas de la última década o dos hayan nacido en Silicon Valley y no en la Unión Europea, sería la regulación más estricta sobre protección de datos de la segunda.

-¿Hasta qué punto la legislación europea está incorporada en el proyecto de ley de Protección de Datos que se tramita en el Congreso en Chile?

-Hay muchos elementos de la GDPR en el proyecto de ley, destacando nuevos derechos como el de portabilidad de datos, la creación de una agencia administrativa que vele por la observancia de la normativa, sanciones y estándares de cumplimiento y control mucho más elevados. Es, sin duda, y así consta de la moción parlamentaria que fue uno de los antecedentes del actual proyecto, una de sus inspiraciones matrices.

Como comenté, hay ventajas y desventajas de pasar elevar drásticamente los estándares de privacidad en Chile, lo que haría recomendable una implementación muy gradual en aplicación de la nueva ley.

-¿De qué manera los usuarios se van a ver beneficiados por esta normativa?

-El mensaje que subyace a esta normativa es que las personas tienen control sobre sus datos y pueden disponer de los mismos, siempre que sea de manera informada. Este último es probablemente el beneficio más tangible para las personas, quienes idealmente recibirán información completa, clara, comprensible y precisa, sobre cada posible uso que terceros pretendan hacer sobre nuestros datos. Como dije, esto presenta el desafío de hacer entender "en fácil" cuestiones normativas que tienen aristas muy complejas.