No hay soluciones rápidas para el GDPR
La protección de datos en el mundo digital es el problema que nunca se termina de resolver.
Apenas habían pasado unos días desde la noticia de Cambridge Analytica cuando me puse a escribir este artículo. Si bien aún no sabemos todo lo que supone este fiasco, lo que sí conocemos es lo siguiente: una empresa británica dedicada al marketing de datos ha recopilado información sobre millones de usuarios de Facebook en Estados Unidos, obteniéndola a través de una aplicación de terceros que formaba parte de esta red social. Esta empresa ha utilizado los datos para crear contenido altamente personalizado pensado para influir en el comportamiento del público.
El hecho de que la empresa recolecte datos para influir en el comportamiento de los usuarios y ofrezca resultados a sus clientes no es ningún secreto, tal y como indicaba la propia página de inicio del sitio web de Cambridge Analytica. Lo que ha generado el escándalo es que se ha hablado de noticias falsas y del uso de cebos para engañar a los usuarios. Por supuesto, el que la empresa fuera capaz de obtener y utilizar los datos de Facebook constituye una violación del reglamento de protección de datos. Tanto es así que el CEO de Facebook, Mark Zuckerberg, se ha disculpado por lo que considera un ‘abuso de confianza’, y ha admitido que Facebook le perdió la pista a los datos que tenía la responsabilidad de proteger.
Quizás este sea el recordatorio más grave de que vivimos en una época en la que el deseo de generar dinero aprovechando los datos entra en contradicción cada vez más con la necesidad de proteger esos mismos datos. Es por este motivo por lo que la aplicación del GDPR no ha podido llegar en mejor momento para todos nosotros como consumidores. Nos permitirá ser dueños de nuestros propios datos personales y exigir responsabilidades a las empresas sobre el modo en el que recopilan, almacenan y usan la información personal. Lo más significativo es que los consumidores de la UE ‘tendrán la libertad de autorizar que se recopilen sus datos, en lugar de la carga de pedir que se eliminen’.
A partir del 25 de mayo de 2018 las empresas que no cumplan con lo dispuesto en el GDPR tendrán que pagar las importantes cuantías de las sanciones. Las multas no solo van a emplearse para meter miedo, esperamos que algunas también se usen para dar ejemplo, pues pueden llegar a los 20 millones de euros en los casos más graves de filtraciones de información o de falta de cumplimiento o suponer el 4 % de la facturación anual de la empresa, la cantidad que sea mayor en cada caso.
¿Están las empresas listas para el GDPR?
A pesar de la amenaza inminente de las sanciones para aquellas empresas que no cumplan el reglamento, una encuesta realizada por Paul Hastings, un bufete internacional, destacó que muchas de las principales empresas en Reino Unido y Estados Unidos están sobrevalorando en exceso su preparación ante el GDPR. Hasta un ‘94 % de las empresas del FTSE 350 y el 98 % de las que figuran en la lista Fortune 500 creen que están en condiciones de cumplir con el GDPR a partir del 25 de mayo de 2018’. A pesar de eso, esa misma encuesta concluye que apenas un 39 % de las empresas en Reino Unido y un 47 % en Estados Unidos cuentan con un grupo de trabajo interno dedicado al GDPR.
Las cifras no cuadran, sobre todo si se tiene en cuenta que los requisitos del GDPR son considerables y complejos. Hay todo tipo de consejos poco acertados que prometen ‘soluciones rápidas’ en internet, pensados para empresas que buscan atajos en el camino hacia el cumplimiento del reglamento. Casi siempre el primer paso que proponen es ‘asignar la responsabilidad’. Si dan por sentado que las empresas no han hecho ni siquiera eso, solo podemos asumir que no están preparadas. Otros pasos incluyen cosas como ‘saber cómo te afecta’ y ‘acordar procesos’, que en el mejor de los casos no te comprometen a nada.
Lo cierto es que no existe una solución rápida cuando hablamos del GDPR. En muchos sitios, el cumplimiento dependerá de una reforma completa del modo en el que esa empresa recopila, almacena y usa los datos de los ciudadanos de la UE, incluyendo también los datos de sus propios empleados. Para nosotros en Veeam, estar preparados para el GDPR ha supuesto actualizar sistemas y flujos de trabajo de tal manera que nos ayuden a conocer, gestionar y proteger los datos que tratamos de forma más eficaz, al tiempo que nos aseguramos de que también implantamos los procesos necesarios para la documentación, auditoría y la mejora continua del enfoque de nuestra empresa en relación con la protección de datos. Todo esto no ha sido sencillo.
Por supuesto, la tecnología desempeñará un papel fundamental en el cumplimiento del reglamento para cualquier empresa, pero no es tan fácil como probar soluciones tecnológicas una tras otra hasta ver cuál es la que sirve. Cumplir con éxito el nuevo reglamento dependerá del comportamiento y el cambio de procedimientos de toda la empresa y no existen soluciones rápidas que lo garanticen.
La ventaja comercial del GDPR
Vale la pena recordar que, aunque el camino hacia el cumplimiento del GDPR no es para nada sencillo, el que toda la empresa se esfuerce en mejorar la protección de datos también plantea una oportunidad comercial única para aquellas empresas que hagan bien su trabajo. Por no mencionar que esto les permitirá seguir siendo competitivas y les ayudará a estar listas para lo que nos depare el futuro.
En un mundo en el que ya no hay marcha atrás después del GDPR, las empresas tendrán que ser mucho más trasparentes y explicar el motivo por el que recopilan datos y para qué los usan. Por ejemplo, tendrán que informar si recolectan datos a través de aplicaciones de terceros y luego los utilizan para crear perfiles del comportamiento para influir en actos políticos (como ha sido el caso con Cambridge Analytica). Pero va más allá, la reputación y los ingresos de una empresa dependerán de esa trasparencia. Las marcas de reconocido prestigio solo podrán aprovechar el poder de los datos para obtener ganancias comerciales si han conseguido que los consumidores realmente confíen en ellas. El equilibro de poder ha cambiado de manera fundamental.
Las empresas que desean encontrar un atajo para cumplir con el reglamento se enfrentan a un camino cuesta arriba. Al final, las que realmente saldrán victoriosas serán las empresas que sepan sacar provecho a la oportunidad que presenta el GDPR y que ya hayan empezado a actuar de manera proactiva para mejorar la protección de datos.
Álvaro Jerez, Veeam Software
