En la página del Reglamento General de Protección de Datos (GDPR) hay un contador que mide el tiempo que falta para que todas las empresas, agencias gubernamentales y organizaciones de la sociedad civil que se encuentren dentro de la Unión Europea y aquellas de otras regiones del mundo que tengan relaciones con clientes que sean ciudadanos de la UE deban cumplir con esta regulación.

El próximo 25 de mayo, las empresas mexicanas que tengan relaciones con clientes que sean ciudadanos de de la Unión Europea deberán procesar, almacenar y proteger los datos personales de estos clientes conforme al cumplimiento del GDPR.

El GDPR es un reglamento que suplió la previa regulación europa sobre el manejo de información de 1995. Fue aprobado en el 2016 y su aplicabilidad extraterritorial es una de las características que lo han vuelto una regulación controversial, puesto que ahora las autoridades europeas tienen la capacidad de auditar y atribuir un mal manejo de los datos personales de un individuo aunque los servidores de una compañía o su operación esté en otro país.

Esto ha generado una intensa discusión entre compañías, instituciones académicas y gubernamentales acerca del concepto de soberanía del ciberespacio y si esta regulación se traduciría en obligaciones adicionales para muchas entidades tanto públicas como privadas que además estarían mandatadas por una autoridad extranjera. 

Un estudio de la consultoría PWC refirió que 68% de las compañías estadounidenses esperaban gastar entre 1 y 10 millones de dólares para acatar el GDPR. Las penalizaciones a las que puede hacerse merecedora una organización en caso de incumplimiento de esta norma pueden alcanzar hasta 4% de sus ingresos anuales o 20 millones de euros, lo que sea mayor.

Microsoft es una de las compañías que no sólo ha adoptado las medidas necesarias para cumplir con este reglamento sino que ha integrado a su oferta de productos la infraestructura de manejo de información que sirve para acatar las normas de esta regulación.

“El GDPR instituye una nueva barrera más alta para los derechos de privacidad, seguridad y cumplimiento, por lo que en Microsoft hemos reinventado nuestros propios sistemas y construcción de controles de seguridad y privacidad directamente en nuestros productos para preparar el negocio para el cumplimiento de GDPR”, dijo Liliana González, directora de Windows y dispositivos para Microsoft Latinoamérica.

A las entidades que manejen información personal de ciudadanos de la UE sólo se les permitirá almacenar y procesar datos personales cuando el individuo otorgue su consentimiento y sólo en los términos especificados por la compañía.

Los datos personales también deberán ser portables entre distintas compañías y los usuarios podrán solicitar que las organizaciones borren sus datos personales de manera definitiva, lo que se conoce como Derecho al olvido.  

En el caso de que se genere una filtración de datos que “genere un riesgo para los derechos y libertades de las personas”, refiere el reglamento, deberá hacerse una notificación de incumplimiento, la cual deberá hacerse en las primeras 72 horas después de haberse dado cuenta de la vulneración.

rodrigo.riquelme@eleconomista.mx