Europa se arma para evitar el uso fraudulento de datos privados
Habrá multas millonarias para las empresas que no custodien bien la información de clientes y empleados.
Las empresas de todo el mundo están muy atentas a la dura normativa que Europa quiere imponer en materia de protección de datos y que hoy la comisaria europea de Justicia, Viviane Reding, dará a conocer. Y es que esta nueva legislación comunitaria, que dictará cómo las compañías deben manejar la información personal de sus empleados y de sus clientes, puede desembocar en multas millonarias para las compañías, en caso de vulneración grave. Según el borrador al que ha tenido acceso CincoDías, las sanciones se endurecerán hasta tal punto que la más expeditiva puede llegar a exigir a una empresa el pago del 2% de sus ventas globales en un año en concepto de multa.
Aunque la nueva regulación tiene aún por delante un largo proceso legislativo con la participación del Parlamento y del Consejo Europeo (algo que llevará dos años), su impacto se aventura importante, más en un momento en que internet y las nuevas tecnologías han provocado nuevos riesgos. Ayer, sin ir más lejos, la empresa de seguridad Trend Micro declaraba 2011 como "el año de las brechas de datos", tras registrarse agujeros de seguridad muy sonados en empresas como Sony, que dejaron expuesto datos personales de 77 millones de usuarios.
Desde Bruselas se deja claro, de todos modos, que la nueva regulación no solo afectará a gigantes como Google, Twitter o Facebook, que están amasando en sus servidores una gran cantidad de datos de carácter personal, o a aquellas empresas que como Microsoft, Amazon o Apple están llevando mucha información a la nube. "El borrador es muy estricto y hasta la empresa más pequeña tendrá que actuar con arreglo a sus 90 artículos, ya sea una carpintería o una granja", indica a CincoDías Ulrich Wuermeling, socio de Latham & Watkins en Fráncfort.
El paquete de reformas que prepara la Comisión Europea incorpora una Regulación General para la Protección de Datos y una Directiva para la Protección de Datos por vía Policial y Judicial. Y solo la primera ya resulta relevante, pues va a reemplazar a la actual Directiva para la Protección de Datos de 1995 y a todas las normativas de privacidad nacional existentes. "La anterior directiva se aplicaba en cada Estado miembro de forma muy distinta. Ahora habrá una armonización completa, y este efecto será especialmente bienvenido por las grandes multinacionales a las que ahora la variedad de normas en los distintos países miembro causa numerosos problemas", añade Wuermeling.
Aunque es cierto que muchas empresas venían pidiendo desde hace tiempo una nueva normativa que armonizara la regulación sobre privacidad a escala europea para simplificar su trabajo, muchas temen una regulación excesivamente restrictiva, según admiten. Uno de los aspectos que más les preocupa es el endurecimiento del marco normativo para el uso de datos personales en acciones de marketing. El nuevo texto prohíbe el uso de información personal para acciones de marketing directo sin consentimiento expreso de los usuarios. Un portavoz de la Asociación Europea de Operadores de Telecomunicaciones con Red advirtió a Reding la semana pasada que "las normas deben adaptarse al mundo online, pero nos tememos que requerir ese consentimiento explícito va a obstaculizar el desarrollo de innovadores productos y servicios en línea", dijo a Financial Times.
Otro aspecto que traerá cola es la obligación de designar un responsable de privacidad en todas las empresas públicas o privadas de más de 250 empleados. "Esto podría significar tener que incurrir en costes no previstos, por lo que sería beneficioso para una empresa considerar este punto antes de que la legislación entre en vigor", aconseja Christian Toon, director de seguridad de información en Iron Mountain Europe, una firma especializada en servicios de gestión de la información.
También preocupa las mayores restricciones impuestas para la circulación de datos recopilados en Europa a países externos de la UE. "La nueva regulación tendrá un impacto claro en la exportación de datos fuera de la UE, especialmente en aquellos países que, como EE UU, no cuentan con una legislación adecuada para la protección de datos", continúa Wuermeling. Este advierte que los instrumentos que hasta ahora "han permitido sortear las restricciones para la transferencia de datos (como los populares Safe Harbor Privacy Principles estadounidenses) tendrán que replantearse". Y advierte que las compañías norteamericanas tendrán que seguir la nueva norma incluso si no están establecidas en Europa, "porque tendrá efectos extraterritoriales sobre todas las empresas de EE UU que quieran acceder a clientes europeos".
Las cifras
2% de las ventas globales de una compañía en un año puede ser la cuantía de una multa en caso de infracción grave.250 empleados o más. A partir de este número, las empresas deberán tener un responsable de privacidad.24 horas es el plazo en que las compañías deberán avisar de una brecha en los datos.
Derecho al olvido y obligación de informar rápido de la pérdida de datos
La nueva normativa europea promete a los usuarios de internet el "derecho al olvido". Es decir, que podrán exigir a sitios como Facebook o LinkedIn que sus datos sean eliminados, y las empresas deberán cumplir, salvo que tengan motivos "legítimos" para retenerlos. Se trata de dar a la gente la oportunidad de gestionar su reputación online, pues como explica Viviane Reding, "internet tiene una capacidad de búsqueda y de memoria casi ilimitada y cualquier pequeño trozo de información personal puede tener un impacto enorme, incluso años después de haber sido compartido y hecho público". Con todo, Reding ha aclarado que el derecho al olvido no es un derecho absoluto. "A veces está justificado legalmente mantener información en una base de datos y los archivos de un periódico son un ejemplo". Según Reding, la nueva normativa incluye disposiciones explícitas que aseguran el respeto a la libertad de expresión e información. Otra obligación que establece para las empresas la nueva regulación es la de notificar en 24 horas a usuarios y autoridades cualquier fallo en la gestión de los datos, incluyendo su destrucción no autorizada o su pérdida por un ataque de hackers, por ejemplo.
Una ley para 500 millones de personas, ¿ventaja para las empresas europeas?
Aunque puede parecer razonable pensar que una norma para la protección de datos más estricta puede brindar una ventaja competitiva a las empresas europeas, porque sus clientes las considerarán más fiables que las de otros países, "en realidad no existe evidencia de este efecto", dice Ulrich Wuermeling, de Latham & Watkins. "De hecho, hasta la fecha las empresas europeas del ámbito del intercambio de datos se han visto perjudicadas con respecto a sus competidoras estadounidenses por las normativas de la UE y cabe esperar que este efecto se incremente si la regulación se vuelve más rigurosa".Reding sí defendió la semana pasada que el hecho de que haya una única ley para 500 millones de personas puede ser una oportunidad de negocio muy interesante. Según la nueva normativa, todos los problemas de privacidad en la UE serán analizados por un regulador único de protección de datos, que será el del país en el que la empresa tenga su establecimiento principal. Para Christian Toon, de Iron Mountain Europe, las empresas no tienen que tener miedo. "Solo han de prepararse: tener planes para custodiar y acceder a sus archivos, así como formar a sus empleados acerca de los mismos", añade.