¿Qué es la GDPR y cómo se cumple con lo que esta normativa establece?
Debido al aumento de los datos en línea durante los últimos veinte años, los países de todo el mundo se han visto obligados a aprobar nuevas legislaciones en un intento por regular el nuevo entorno digital. La Regulación General de Protección de Datos (GDPR) es una normativa de la Unión Europea sobre datos personales y privacidad que supervisa las interacciones y transacciones en línea que se producen dentro y entre los estados miembros de la UE. La siguiente información se encuentra protegida bajo la GDPR:
- información básica de identidad (nombre, dirección personal, números de identificación, etc.)
- datos biométricos
- datos raciales o étnicos
- datos sanitarios y genéticos
- opiniones políticas
- orientación sexual
Las empresas que recopilan datos de ciudadanos de la UE deben cumplir las estrictas normas establecidas en la GDPR o sufrir considerables sanciones monetarias. Estas multas pueden ser bastante elevadas y ascender a cientos de millones de dólares, dependiendo de la gravedad de la infracción en cuestión. Por ejemplo, la multinacional tecnológica Google fue multada con 56,6 millones de dólares en virtud de la GDPR en 2019. Esta multa se impuso bajo la premisa de que Google no había proporcionado a los usuarios suficiente información sobre sus derechos de datos personales y la forma en que se procesaban dichos datos. Aunque Google intentó apelar ante el máximo tribunal francés al año siguiente, dicho tribunal acabó confirmando la decisión que se dictó en 2019. La sanción de un gigante corporativo como Google sobre la base de la GDPR deja claro la rectitud de las normas que busca mantener la UE.
Por otra parte, el minorista internacional de ropa H&M fue multado con 41 millones de dólares por la Autoridad de Protección de Datos de Hamburgo por violar la GDPR. H&M fue acusada de vigilar a varios cientos de sus empleados de una manera que resultó ser intrusiva. Esta intrusión incluía un amplio conocimiento de la vida personal de los empleados fuera del ámbito de sus funciones laborales, que iba desde sus creencias religiosas hasta problemas familiares. Además, algunos empleados de H&M debían asistir a reuniones de reincorporación al trabajo después de haber estado de licencia o de vacaciones. Al parecer, más de cincuenta directivos de H&M tuvieron acceso a algunos de los videos de dichas reuniones y los vieron sin el consentimiento de los empleados grabados.
H&M alegó que recopiló esta información con el pretexto de evaluar el rendimiento de los empleados en un intento de tomar las mejores decisiones de contratación posibles. Finalmente, H&M fue sentenciada por violación del principio de minimización de datos de la GDPR. Dicho principio establece que los datos personales no deben ser procesados y compartidos a menos que sea por una razón muy específica y, en la mayoría de los casos, beneficiosa. Además, esta información debe estar protegida en todo momento y nunca debe utilizarse para tomar decisiones de contratación.
¿Por qué existe la GDPR?
La GDPR existe debido a la creciente preocupación del público por la privacidad. Hoy estamos a semanas de que se cumplan tres años desde que la GDPR se convirtió en ley el 25 de mayo de 2018 y la preocupación por la privacidad no ha hecho más que crecer durante todo este tiempo. Según el Informe de Privacidad y Seguridad de Datos de RSA, que encuestó a 7500 personas de diversos grupos demográficos en Francia, Alemania, Italia, Estados Unidos y el Reino Unido, el 80% de los encuestados dijo que perder su información bancaria o financiera era su principal preocupación. Por otro lado, el 76% de los encuestados situó la pérdida de sus datos personales, como el carné de conducir o el pasaporte, como su preocupación secundaria.
Además, el sentimiento del público está cambiando en cuanto a quién debe ser considerado responsable del mal uso de los datos cuando este se produce. Durante muchos años, el fraude en línea generalmente se asoció a piratas informáticos o delincuentes que actuaban por su cuenta para obtener un beneficio personal y no a grandes empresas que ven en secreto videos de sus empleados. Ahora que los consumidores se han informado y tomado conciencia, exigen que las empresas sean transparentes en lo referido al almacenaje, procesamiento y rastreo de datos personales en el contexto de sus operaciones. A medida que la confianza ha disminuido a lo largo de los años, algunos consumidores han recurrido a artimañas como proporcionar intencionalmente información falsa al inscribirse en servicios en línea.
¿Qué deben hacer las empresas para cumplir con la GDPR?
Para combatir esta desconfianza, muchas empresas deben modificar o redactar nuevos contratos con clientes y proveedores externos. Esto se debe a que muchos antiguos contratos no se alinean con las recientes regulaciones de la GDPR. Además, dado que muchas redes sociales y grandes empresas tecnológicas han llegado a considerar los datos personales de su base de usuarios como un activo, debe haber un replanteamiento conceptual sobre el valor de la información personal de identificación y las mejores formas de protegerla. Existen softwares de redacción, como CaseGuard Studio, que se utilizan actualmente en toda Europa. Con CaseGuard Studio las corporaciones y empresas de la UE pueden estar seguras de que disponen de las herramientas necesarias para evitar la violación de la privacidad de cualquier persona.