El próximo 25 de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Esta regulación fue aprobada después de cuatro años de negociaciones en la Unión Europea (UE) y, tras 25 años, modificará las leyes que aplican a la protección de datos en la región.
Rebeca Servín, directora de Asuntos Legales, Corporativos y de Filantropía en Microsoft México, explica que el GDPR llega porque era necesario modernizar la manera en que se regula la recopilación, el tratamiento y el uso de los datos de los residentes de la UE.
Pese a que es un reglamento de origen europeo, tiene implicaciones en todo el mundo, incluyendo empresas mexicanas que manejen datos de ciudadanos y empresas de la Unión Europea.
La abogada Servín expone que la regulación establece obligaciones más robustas para las organizaciones. “Tiene una aplicación evidente para todos los estados miembros de la UE, incluyendo las entidades públicas y empresas grandes, medianas y pequeñas. La relevancia que tendrá en México es que tiene una aplicación muy amplia, así que no solo aplicará a las empresas que fueron constituidas y operan en territorio europeo, también tendrá incidencia en empresas que se encuentren fuera y que den tratamiento a datos de residentes u organizaciones ubicadas en Europa”.
Servín agrega que el nuevo GDPR establece una inmediatez en la notificación de incidentes de seguridad en un plazo no mayor a 72 horas, por lo que, para que las empresas den cumplimiento a ese requerimiento, tendrán que realizar cambios en sus sistemas y procesos.
Otro aspecto relevante es que se establece el cifrado de información en algunos casos. Por ejemplo, los datos biométricos considerados como sensibles requieren una separación del nombre de la persona, de manera que no sea posible relacionarlos para identificar a alguien.
También será necesario poner a disposición de los usuarios o titulares informes sobre el tiempo que serán tratados sus datos, cuál es su propósito y dónde estarán almacenados.
Para facilitar a sus clientes el cumplimiento de la nueva reglamentación, Microsoft ha anunciado la modificación de algunos de sus sistemas y productos que ahora integrarán nuevos sistemas de control acorde a los lineamientos del GDPR.
Asimismo, la compañía ha incorporado en sus productos sugerencias de ciberseguridad para proteger los datos personales. “Tenemos el compromiso de ayudar a los clientes que tendrán que cumplir con la regulación”, concluyó Servín. Por Marisol Morelos
Pasos clave para cumplir el GDPR
1. Detectar qué datos personales existen en
la organización y dónde residen.
2. Conocer cómo se usan los datos personales y cómo se accede a los mismos, así como implementar un plan de gobernanza.
3. Establecer controles de seguridad para prevenir, detectar vulnerabilidades y responder a incidentes de seguridad.
4. Conservar toda la documentación.