Cristian Garcia

Digital Business Strategy

where data and creativity collide

GDPR y los primeros pasos para controlar data

Tras muchísimas historias de terror sobre el mal manejo de datos y el descalabro de empresas como Cambridge Analytica y Equifax, la Unión Europea finalmente implementará la Ley Regulatoria para la Protección de Datos (GDPR) este 25 de Mayo.

Latinoamérica ve desde lejos como EU pone mano firme a las empresas que solicitan, almacenan y usan nuestros datos con fines comerciales. Facebook -en un gesto que busca ganar nuestra confianza- aplicará los principios de GDPR a nivel global, pero continentes enteros aún no toman medidas sobre el uso de nuestros datos y su uso.

A-Recruitment-GDPR-Compliance-Toolkit.png

 

¿Qué es GDPR?

“El objetivo de este grupo de normas es el de devolver a los ciudadanos el control sobre sus datos personales y simplificar el marco regulatorio para las empresas”

La EU  dio a las empresas 2 años para implementar y cumplir con las regulaciones estipuladas; aquellas que no lo hagan, pueden llegar a pagar hasta 4% de su revenue a nivel global (más de lo que varias empresas dedican a marketing or R&D en todo un año).

Desde mayo en adelante las empresas deberán justificar el uso de datos, escoger exclusivamente datos relevantes y almacenar la información por un tiempo determinado.

5 Principios de GDRP

  1. Transparencia: Se deberá explicar de manera explícita a los usuarios qué datos se le solicitará y para que se usarán.
  2. Limitar el almacenamiento: Una vez que has recolectado datos, deberás explicar por cuánto tiempo estarán en tu base de datos y tras ese tiempo, eliminarlos
  3. Consolidación de datos: Los datos solicitados deberán ser adecuado, relevantes y sólo pueden limitarse a lo necesario
  4. Información fidedigna: Si el nombre de una persona está mal escrito y ella solicita la corrección, la empresa está obligada a realizar el cambio en un límite de tiempo
  5. Integridad y confidencialidad: La manipulación de datos y su almacenamiento deben asegurar el uso apropiado y de acuerdo a altos estándares de seguridad

Lo interesantes es que si bien otros continentes no han establecido normas similares, el puro hecho de vender sus productos o servicios en EU los obliga a cumplir las normas de GDPR.

Si bien todo esto parece sacado de un libro de terror (es todo lo que habla estos días en UK), GDPR presenta una gran oportunidad para limpiar tus datos y entender (1) a quién le vendes en EU (2) qué tipo de información has recolectado (3) donde la almacenas (4) cada cuanto la usas (5) que tan fidedigna es la información con el paso de los años.

¿Cómo prepararse para GDPR?

  1. Asegura la protección de datos por default
  2. Protege los datos a personas no autorizadas (incluso dentro de tu empresa)
  3. Asegura un alto nivel de seguridad, confidencialidad y privacidad
  4. Asegura la data en tránsito
  5. Otorga el derecho a corregir información
  6. Otorga derecho a “ser olvidado” y portar tus datos
  7. Cumple con la consolidación de datos

 

Un caso práctico de GDPR

Eres una Universidad y viene el periodo de admisión. Ana quiere postular.

Como empresa, necesitarás permiso legal para obtener los datos de Ana, ya sea porque ella optó voluntariamente, tu le pediste los datos de manera explícita, hay un contrato entre ambos o “interés legítimo” en el cual Ana solicita información.

Como Universidad deberás:

  • Decirle a Ana que datos necesitas y para qué serán usados
  • Ser explícito con las interacciones que tendrás con Ana en el futuro
  • Decirle a Ana que ella podrá solicitar la eliminación de todos sus datos (el botón de no suscripción ya no será suficiente). Ana tiene el derecho a “ser olvidada”. Esto debe hacerse en 30 días
  • Decirle a Ana cómo ella puede modificar personalmente su información en caso que ésta haya cambiado.
  • Permitir que Ana “se lleve sus datos”; esto es portabilidad y como empresa, la Universidad deberá permitir que Ana descargue toda la información que se tiene de ella.

Al final, GDPR es un marco regulatorio necesario. Las empresas tiene una oportunidad para consolidar la información que han acumulado con los años y nosotros podremos -finalmente- tener el derecho a ser olvidados y controlar lo que las empresas saben de nosotros.

Cristian Guajardo Garcia (cc) by-nc-sa | Made in London, UK |  2005 - 2018