Reglamento Europeo de Datos Personales: ¿qué impacto tiene en las empresas peruanas?

 

Por Alexander García, director de PwC Perú

Al pensar en el capital de una empresa, muchos suelen enfocarse en el aspecto financiero, dejando de lado uno de los activos más importantes de la era de transformación en la que vivimos: los datos. Tener la información adecuada puede, indiscutiblemente, mejorar la competitividad de una compañía porque permite prevenir riesgos, adelantarse a las necesidades de los clientes y consumidores, reducir pérdidas, entre otros. Sin embargo, la información es un activo que debe ser tratado de manera correcta, asegurando su uso y destino y, en consecuencia, existe un conjunto de normas y reglamentos que buscan proteger los datos recabados, especialmente aquellos considerados personales.

A fines de mayo se aprobó el nuevo reglamento europeo de datos personales, GDPR por sus siglas en inglés, con el objetivo de estandarizar las medidas de protección de esta información en la Unión Europea, a través de la incorporación de nuevos requerimientos para la recolección, almacenamiento, uso, retención y disposición de datos personales de ciudadanos de la UE. Asimismo, impone severas penas y multas a las empresas que no cumplan con la regulación; a lo que podríamos sumar el daño reputacional que podría generar un impacto negativo en el mercado y en la confianza del consumidor.

El reglamento impacta los negocios porque plantea nuevos requerimientos para la protección de datos personales, lo que significa un ajuste en el actuar de la compañía. Entre las exigencias más importantes podríamos considerar las siguientes:

  • Las brechas de fuga de información deberán ser notificadas a los reguladores e individuos afectados dentro de las 72 horas  de producido el incidente.
  • Implementar la función de oficial de privacidad de información.
  • Multas y sanciones que pueden llegar hasta los 20 millones de euros o 4% del ingreso anual.
  • Evaluación de impacto de la privacidad en caso de adopción de nuevas tecnologías y/o áreas de alto riesgo.
  • Derecho al olvido para que los ciudadanos puedan exigir la eliminación de sus datos, y de ser el caso, la portabilidad de los mismos a otras organizaciones.

En el caso de las empresas peruanas, independientemente de si se encuentran o no operando físicamente en la Unión Europea, podrían estar sujetas a esta nueva regulación en la medida que utilicen información personal de ciudadanos europeos; sin importar que esta haya sido recolectada por ellos o no. Por ello, es importante que las compañías evalúen detenidamente el panorama y establezcan las acciones a implementar para cumplir con esta regulación.

Un primer paso es identificar el efecto de la norma en la empresa, es decir, si aplica o no y en qué medida esto puede afectar los distintos procesos necesarios para el negocio. Es indispensable entender qué tipo de información de ciudadanos europeos se está utilizando y qué tan crítica es para las operaciones, de modo que se pueda priorizar los esfuerzos y acciones. No debemos olvidar que desde el año 2015 las empresas peruanas deben cumplir con la ley de protección de datos personales No. 29733, lo cual les permite no partir de cero para cumplir con este nuevo reglamento.

Otro aspecto que es importante tomar en cuenta es que se debe pensar tácticamente para tomar decisiones que eviten incrementar los costos de cumplimiento en caso que esta información personal proveniente de la Unión Europea no sea tan significativa para la operación. Consideremos que, a más información personal, mayor nivel de cumplimiento será requerido.

Finalmente, adaptarse y aplicar las nuevas normas y estrategias de protección de datos no es cuestión optativa. Las regulaciones se están incrementando y la tendencia indica que esto continuará, al igual que la carga sobre las empresas. En los últimos meses hemos visto cómo grandes compañías tecnológicas enfrentan desafíos para tratar adecuadamente la información personal que obtienen por diversos medios para su propio beneficio, y dado que aún hay mucho camino por recorrer en la auto regulación, es claro que los gobiernos asumirán mayor protagonismo al respecto, promulgando las leyes necesarias para proteger la privacidad de sus ciudadanos.

Acerca del autor

Alexander García

Alexander García

Más de 17 años de experiencia en servicios de consultoría en PwC. Actualmente trabaja como director de ciberseguridad y privacidad en Lima, ayudando a sus clientes a construir o mejorar su capacidad en ciberseguridad y privacidad, desarrollando un mapa de rutas en términos de estrategia, gobierno, seguridad de modelo operativo, monitoreo, regulación de compliance e implementación de SOC (Security Operation Center). Ha desarrollado proyectos de consultoría en Canada, Estados Unidos, Latinoamérica e Israel. Su experiencia profesional esta enfocada en el servicio de consultoría de control de riesgos, incluido servicios de IT Governance & Risk, seguridad de la información, manejo de data, ERP, auditoría interna y data privacy. También, lidera la practica de GRC para ayudar a los clientes a optimizar su gobierno corporativo, implementando soluciones de clase mundial como TeamMate, SAP GRC y otros.

Sigue a Alexander García en:

LinkedIn

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *