Inicio Articulos. Llegó el GDPR, ¿qué debe hacer mi empresa en México?

Llegó el GDPR, ¿qué debe hacer mi empresa en México?

GDPR marca el inicio de un largo camino por regular el manejo de datos y ofrecer más seguridad a cualquier persona que navegue por la red

Llegó el GDPR, ¿qué debe hacer mi empresa en México?

A partir de mayo de 2018, las grandes plataformas de Internet y las empresas deben asegurarse de que tienen el consentimiento ‘libre, específico e informado’ de sus usuarios en cuanto al uso de sus datos personales.

Esto, tras la entrada en vigor de GDPR (General Data Protection Regulation, por sus siglas en inglés), que incluye reglas más estrictas, en cuanto a la recolección, tratamiento y resguardo de datos personales en la red.

Si bien se trata de una iniciativa concebida en la Unión Europea, su implementación tendrá impacto global para los internautas, en especial para aquellas empresas que tienen vínculos comerciales con Europa y cualquier negocio o persona que navegue en la red.

Hay que considerar que cada vez es más común una colaboración conjunta entre las naciones, con la finalidad de que nuestra información se encuentre protegida en cualquier parte del mundo, así la regulación incluye a proveedores de servicios de nube como Amazon Web Services (AWS) y Azure, de Microsoft.

 

¿Qué entiende la nueva ley por ‘Datos Personales’, para identificar claramente la información que pasa a ser protegida?

Como datos personales se considera: el nombre, el correo electrónico, el nombre de usuario y contraseña, la dirección, el teléfono, la edad, los datos de facturación y todos los que brinda el usuario a una empresa para adquirir un producto o darse de alta en cualquier servicio gratuito o de paga.

El usuario es cualquier persona que navegue por la página, deje un comentario, le dé clic a cualquier enlace que exista, llene sus datos en algún formulario, etc., es decir, que tenga cualquier interacción con el sitio.

Es por eso que, aunque no formes parte de la Unión Europea, si tienes algún tipo de contacto con un sitio web de esos lugares, tienes derecho a solicitar el cumplimiento de esta ley.

La legislación persigue 3 objetivos centrales:

  • Unificar las normas de protección de datos vigentes en suelo europeo;
  • Otorgar la titularidad, el acceso y el control de sus Datos Personales a los ‘sujetos de datos’, verdaderos y únicos ‘dueños’ de su información personal;
  • Responsabilizar a las empresas del uso que hacen de dichos datos, a partir de pautas claras y precisas sobre la forma de procesarlos, almacenarlos y destruirlos.

GDPR es el reemplazo de la Directiva Europea de Protección de Datos Personales, que desde 1995, dictó cómo deberían recolectarse y tratarse los datos personales de ciudadanos europeos en la red, al ser una reglamentación su aplicación no depende de modificaciones a la legislación de un país. por lo que ésta será directa, según información de los sitios oficiales de la Unión Europea.

Las sanciones por incumplimiento del GDPR son del pago de 4% de los ingresos anuales de la compañía o una multa de hasta 20 millones de euros.

El artículo 28 de la nueva ley delinea una sanción menor de 2% de sus ingresos anuales para las empresas que no tengan en orden sus bases de datos.

Aunque esto depende del tipo de empresa y su volumen de operación, las empresas deberán contar con un Director de Manejo de Datos o Data Protection Officer.

Otras de las disposiciones de GDPR incluyen la obligación para las empresas de permitir a los ciudadanos que ejerzan el derecho al olvido (borrar completamente sus datos de internet), la opción de que otra empresas maneje sus datos personales o portabilidad de datos, además de darle a la gente la opción de elegir si quiere o no que una empresa tenga sus datos (opt in/ opt out)

También se obligará a las empresas a notificar a las autoridades en caso de experimentar algún tipo de robo de datos, en un margen de 72 horas posteriores al incidente.

 

Panorama de las empresas mexicanas

Aquí te presentamos un panorama de cómo se encuentran las empresas en nuestro país, donde el 88% de ellas tienen la percepción de acatar la Ley Federal de Protección de Datos Personales en Posesión de Particulares –vigente desde hace 7 años–, sin embargo, como veremos, esto no es así del todo.

Actualmente, en México es necesario contar con un aviso de privacidad, donde se definan los derechos ARCO y el manejo de información sensible que los usuarios comparten con la empresa por cualquier medio, y este debe estar disponible en el sitio web de la organización.

Casi la mitad, (48%) incumple con al menos uno de los requerimientos de la ley, lo cual pone en riesgo la información de los ciudadanos y deja expuestos los datos a ciberataques.

En un estudio realizado entre 300 empresas de 24 estados del país, por la Consultoría PwC México, se detalla que para 87% de las firmas, la percepción de cumplimiento de la ley se limita solo a contar con un aviso de privacidad en su página de internet.

Sin embargo, para proteger los datos de los usuarios es necesario contar con un equipo especializado de monitoreo de la información y gestión de datos, de manera interna, del cual carecen 48% de las empresas, por lo cual recaban y almacenan grandes cantidades de información, pero no saben dónde está, ni les dan uso óptimo. De la muestra, solo 26% dijo tener una oficina dedicada a privacidad.

Actualmente, cuando un usuario hace una requisición para ejercer sus derechos ARCO, como solicitar que las empresas borren su información, éstas no tienen capacidad de respuesta. Solo 1 de cada 4 empresas tiene un sistema para verificar que sí se borren los datos de los usuarios.

El carecer de estas herramientas aumenta la exposición a un ciberataque, ya que al no tener un sistema de verificación o bien al no realizar, por medio de un equipo especializado, un análisis de retorno de inversión para conocer el valor de los datos que almacenan, su respuesta ante una vulnerabilidad cibernética es casi nula.

El 54% de las empresas no tiene un procedimiento para responder ante un robo de información, además, la mayoría tarda más de seis meses en darse cuenta que fue atacada.

El estudio de PwC detalla que 38% de las empresas tarda al menos un año en detectar un robo de información, mientras 29% al detectarlo no cuenta con acciones concretas a seguir y actualmente, no tienen o realizan la inversión adecuada y específica en sistemas de protección de datos.

El 45% de las empresas señaló que no piensa invertir en este tipo de protecciones en los próximos meses.

Con este panorama no es de extrañarnos que Kaspersky Lab ubique al país como la nación más vulnerable en la región y la cuarta en el mundo.

 

¿Qué hacer ante esta nueva ley si recabo datos?

Las empresas que recaban datos deben contar con un documento interno de la empresa que detalla los siguientes:

  • Declarar con qué fin se utilizan los datos
  • Informar qué medidas de seguridad se están aplicando a los distintos tratamientos.
  • Cuánto tiempo se guardarán los datos.
  • Evaluar las medidas de seguridad y cómo se guarda los datos.

 

¿Si tengo un sitio web o blog, dónde entra esta política de privacidad?

Si se recaban datos en un sitio web o blog, se debe contar con lo siguiente:

  • Formularios de contacto
  • Comentarios dentro de un post de blog
  • Suscripciones de mailing o newsletters (con proveedores como Doppler, Mailchimp, Constant Contact, entre otros)

 

Si tienes un formulario de contacto en tu sitio debes contemplar estos 4 aspectos:

1.- Recabar solamente los datos necesarios.

2.- El formulario debe contener un check box para dejar un registro de evidencia donde el usuario accede a compartir sus datos y acepta haber leído la política de privacidad y términos y condiciones. Si utilizas un sistema de base de datos para guardar esta información también debe quedar registrada la aceptación de términos por medio del check box.

3.- Poner una liga hacia la política de privacidad y términos y condiciones.

4.- Mencionar la política GDPR.

Aunque las nuevas disposiciones no afectarán de manera directa a todas las empresas mexicanas, seremos protagonistas de grandes cambios, tanto en el público (principalmente europeo) como en las empresas.

Este es el inicio de un largo camino por regular el manejo de datos y ofrecer más seguridad a cualquier persona que navegue por la red.