Entrada en vigor de GDPR – Retos presentes y futuros


A falta de pocas semanas para la entrada en vigor el próximo 25 de mayo del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (conocido por GDPR por sus siglas en inglés), las compañías redoblan sus esfuerzos para tener preparadas las respuestas necesarias ante los cambios legales, técnicos y organizativos exigidos por el mismo.

A falta de pocas semanas para la entrada en vigor el próximo 25 de mayo del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (conocido por GDPR por sus siglas en inglés), las compañías redoblan sus esfuerzos para tener preparadas las respuestas necesarias ante los cambios legales, técnicos y organizativos exigidos por el mismo.

Adicionalmente a este enfoque “comply”, las organizaciones siguen tratando de ajustar el impacto futuro que GDPR tendrá en su modelo de relación con los clientes, sus estrategias comerciales, el desarrollo de productos y las alianzas con terceros, en busca de ventajas competitivas.

A lo largo de los últimos dos años, las empresas han dedicado numerosos recursos técnicos y humanos con el objetivo de:

·    Identificar las debilidades existentes en su modelo operativo respecto a los requerimientos de GDPR.

·         Definir un plan de acción focalizado en subsanar estas carencias.

·         Desarrollar e implantar las iniciativas orientadas a garantizar el cumplimiento.

·         Gobernar adecuadamente el programa de transformación.

Es indiscutible que el impacto de esta regulación afecta de manera relevante a numerosas áreas de las organizaciones. Y no es menos cierto que, en ocasiones, la magnitud de este impacto no ha sido bien anticipado o valorado.

En base a nuestra experiencia, las tres áreas de mayor impacto incluyen:

     Definición de los procesos técnicos y operativos para la gestión del ciclo de vida del “consentimiento” y el ejercicio de derechos (con especial foco en la “Portabilidad de Datos”)

2.   Desarrollo del rol de Data Protection Officer (DPO) y el modelo de gobierno de la privacidad.

3.   Revisión del modelo de relación y control con sus prestadores de servicios

Otros aspectos de la regulación que merecen ser destacados incluyen:

4.   Identificación y documentación de las actividades de tratamiento de datos personales y análisis de los supuestos legales que amparan su ejecución.

5.  Adaptación de los mecanismos y cláusulas informativas y de ejercicio de derechos

6.   Definición y ejecución de las metodologías para el análisis de riesgos en materia de privacidad (DPIA)

7.   Implantación de mejoras en los mecanismos de seguridad y protección de la información de carácter personal.

8.  Ajuste de los mecanismos de prevención, detección y notificación de incidentes o brechas de seguridad que afecten a datos de carácter personal.

9.    Mejora de los sistemas informáticos de soporte a la función de privacidad

10. Por último, pero no menos importante, la definición de programas globales de formación y concienciación en la materia.

 

En este contexto, los resultados de una encuesta realizada por Deloitte a nivel europeo arrojan varios aspectos de interés. Desde el punto de vista de formalización de la función de privacidad en las compañías, el punto de partida para cumplir con GDPR se resume en la siguiente gráfica:

Es también revelador el dato de que únicamente el 15% de las organizaciones esperaba ser “fully compliant” en mayo de 2018, adoptando las mismas una estrategia de defensa ante potenciales incumplimientos basada en una aproximación a los requerimientos en base su riesgo.

Las tres principales barreras de partida para lograr el cumplimiento que destacaban las compañías sobre el contenido y alcance de la GDPR eran:

Finalmente, de acuerdo a los resultados de la encuesta, las principales dificultades se concentraban en las siguientes áreas:


Si analizamos la situación del mercado nacional, debemos resaltar dos mensajes:



·     Por un lado, el impacto en los diferentes sectores de actividad es claramente asimétrico, destacando el impacto en:

o   El sector financiero (debido a las complejas estructuras societarias que engloban los diferentes ámbitos de actividad de los grandes jugadores del sector)

o   El sector “retail” (por el impacto en los actuales procesos de segmentación y fidelización de clientes, así como la financiación al consumo)

o   Con carácter multisectorial, destacamos aquellas organizaciones que dispongan de procesos robustos de analítica avanzada de clientes (especialmente si se están integrando datos externos en sus modelos analíticos), así como los impactos en modelos de negocio estructurados bajo un enfoque “joint-venture”.

·     Adicionalmente, la regulación ha generado un nuevo rol en las organizaciones (asociada a la función de Data Privacy Officer -DPO) en la que se observa una escasez de oferta de profesionales con la experiencia y formación requerida en el mercado laboral.

Como complemento a todo lo anterior, la pregunta que ahora mismo resuena en la dirección de las organizaciones se formula de la siguiente manera: Después de todos los esfuerzos, ¿cuáles son los aspectos clave a partir del 25 de mayo?

Desde mi punto de vista, existen tres grandes ejes de actuación a potenciar en los próximos meses:

·    Estabilizar las nuevas políticas, procedimientos y procesos, garantizando el “ajuste fino“ de las medidas establecidas en base a la experiencia adquirida a medida que se rueden los nuevos modelos de cumplimiento.

·     Potenciar las labores de formación, concienciación y especialización de las tres líneas de defensa en materia de privacidad de las organizaciones.

·     Identificar los cambios en el modelo de negocio a impulsar por una previsible mayor concienciación de los distintos interesados respecto a bajo que supuestos se utiliza su información personal, e integrarlas en la estrategia de la compañía. Esta reflexión debe generar la toma de decisiones en los siguientes campos:

o   Estrategia futura de comercialización de productos y fidelización de clientes

o   Estrategia de generación de “Marketplace” propios o posicionamiento en “Marketplace” de terceros.

o   Posicionamiento de las fortalezas en seguridad y privacidad como ventaja competitiva.

o   Incremento del gobierno y control sobre la prestación de servicios realizados por terceros.

Por lo tanto, el camino no ha concluido. Las compañías están comenzando un viaje sin retorno hacia una mejor protección y uso de la información, acompañadas de un entorno cada vez más concienciado y exigente respecto a cómo las mismas explotan y protegen los datos de carácter personal.

 

Fran Costas Bargados

Socio de Risk Advisory - Deloitte

Volver