¿Qué es el GDPR? La guía de Tecnonucleous sobre las nuevas leyes europeas de protección de datos que tienen un impacto en la nube
En mayo, entrará en vigor en toda Europa una nueva ley de protección de datos que cambiará la forma en que las empresas de tecnología hacen negocios en cualquier parte del continente. Se llama el Reglamento General de Protección de Datos, y está diseñado para unificar todas las diferentes políticas de privacidad mantenidas por los estados de la Unión Europea en un solo conjunto de reglas.
En cierto modo, la regulación aprobada hace dos años es una medida positiva: las leyes hiperlocales de protección de datos amenazaron con dividir a Europa en una serie de silos de datos, todos con diferentes reglas, y la complejidad de cumplir con todas esas leyes habría sido prohibitivamente costoso para startups en la nube (y grandes empresas) que operan en Europa. Aún así, el GDPR establece nuevas expectativas estrictas para el manejo de datos y conlleva fuertes multas para las empresas que violan esas regulaciones.
Si trabajas con datos de clientes europeos dentro de una gran compañía de tecnología, probablemente hayas tenido reuniones similares al año 2000 acerca de la fecha límite de mayo desde hace un tiempo. Pero si usted es una empresa más pequeña, una startup que recién comienza con la intención de ofrecer servicios en Europa, o simplemente está interesada en el futuro de las leyes de protección de datos, esto es lo que necesita saber.
¿Qué es el GDPR?
El Parlamento de la UE aprobó el GDPR en abril de 2016 después de un gran debate en toda Europa sobre la mejor manera de manejar los datos privados en Internet en la era moderna. En un mundo cada vez más escéptico de las compañías tecnológicas donde las violaciones masivas de datos personales son comunes, existe un interés definido en establecer reglas claras sobre cómo las compañías deben adquirir, almacenar y eliminar los datos personales.
A los fines del presente reglamento, los "datos personales" incluyen todo, desde direcciones de correo electrónico hasta información de tarjetas de crédito y registros médicos. Si tiene usuarios en Europa, probablemente esté sujeto a estas nuevas reglas.
¿Cuáles son las nuevas reglas?
El objetivo principal del GDPR es establecer expectativas claras sobre cómo se deben manejar los datos entre los estados de la Unión Europea.
Quizás el componente más importante de las nuevas reglamentaciones es el requisito de que cualquier persona que recopile datos personales de miembros de la Unión Europea a través de Internet debe deletrear exactamente qué está haciendo con esos datos y por qué "usar un lenguaje claro", según el texto de la regulación. Eso probablemente significa que los proveedores de servicios en la nube no podrán implementar una política de privacidad repetitiva escrita por expertos legales en el arte de la ofuscación en sus sitios, y significa que tendrán que dejar en claro cómo optar por no participar en la recopilación de datos o eliminar cuentas.
Una nueva regla que debería llamar la atención de todos: las empresas ahora tienen 72 horas para informar a los clientes europeos sobre una violación de seguridad que podría haber comprometido sus datos personales, desde que la empresa se entera de la infracción. Eso es mucho más rápido de lo que muchas empresas están acostumbradas a operar: le tomó semanas a Equifax notificar a sus clientes estadounidenses sobre una violación masiva de seguridad a principios de este año, y Uber se guardo la información relacionada a una violación de seguridad por más de un año.
Otra regla importante rige en el "derecho al olvido" o el derecho a exigir que un servicio de Internet elimine el contenido público. Los servicios pueden ponderar esa demanda contra el derecho del público a conocer esa información, lo que permite un tratamiento diferente para los políticas que buscan borrar información perjudicial y errores que cometieron adolescentes, pero las empresas tendrán que establecer una forma de considerar tales solicitudes.
Esto suena un poco vago y complicado
¡Podría ser! Por ejemplo, uno de los nuevos requisitos ordena a las empresas que sigan un enfoque de "privacidad por diseño" para el desarrollo de productos, o que piensen en la privacidad desde la primera línea de código en lugar de utilizar las herramientas de privacidad más adelante. No es difícil imaginar que las personas puedan estar en desacuerdo sobre lo que realmente parece, o que los métodos más nuevos y más fuertes para proteger la privacidad utilizando tecnologías o técnicas emergentes puedan ser retenidos porque los reguladores no entienden este nuevo enfoque.
Las compañías también tendrán que mantener registros internos de sus métodos de manejo de datos, lo cual es común entre las compañías más grandes que operan a través de las fronteras, pero podrían presentar problemas para los recién llegados sin políticas claras. Algunas empresas cuyos servicios "requieren una supervisión regular y sistemática de los interesados a gran escala" también tendrán que designar a alguien como su "oficial de protección de datos", pero no está del todo claro qué significa "gran escala".
Sin embargo, sigue siendo mejor que la alternativa, en la que todos los estados miembros de la UE habrían decidido implementar sus propias leyes de protección de datos. Esto comenzaba a suceder antes del acuerdo de 2014, y habría hecho servicios operativos en la nube que movían datos hacia adelante y hacia atrás a través de las fronteras nacionales, un evento habitual para los usuarios de los centros de datos de Amazon Web Services, Microsoft Azure o Google Cloud Platform en Europa.
¿Qué hago con mis usuarios en el Reino Unido?
Cualquiera que sea el resultado de la agitación del proceso Brexit, el Reino Unido está considerando su propia ley de protección de datos que se ajusta en gran medida al GDPR, por lo que cualquier cambio que realice en su estrategia de manejo de datos en línea con los requisitos GDPR también debería abarcarlo en el Reino Unido.
¿Esto tendrá algún impacto en las leyes de protección de datos de EE. UU.?
Es difícil imaginar nuevas leyes de protección de datos del consumidor estadounidense en nuestro clima político actual, tal vez mejor descrito como un acaparamiento de tierras para intereses corporativos una vez en la vida, pero las reglas de GDPR podrían tener un efecto sutil en la forma en que los consumidores estadounidenses son manejados. Las grandes empresas que hacen negocios importantes en Europa podrían decidir que es más fácil agrupar a todos sus clientes en el mismo segmento utilizando las reglas GDPR como referencia, en lugar de mantener políticas separadas de manejo de datos basadas en la región en la que ese usuario accedió a sus servicios.
Además, esto puede permitir a Europa probar nuevas normativas que podrían ayudar a informar mejor a los usuarios de las futuras leyes de protección de datos, tanto aquí como en los EE. UU. Sin duda habrá problemas técnicos, decisiones legales e inercia burocrática que se combinan para resaltar áreas en las que las reglas de GDPR deben ser retocadas o modificadas para servir mejor a todas las partes.
De cualquier forma, las preocupaciones a largo plazo sobre la protección de datos ciertamente no desaparecerán. A medida que las empresas se ajusten a los requisitos del GDPR, tendremos una mejor idea de cómo se desarrollarán esas preocupaciones.