Ya en 1980, la Organización para la Cooperación y el Desarrollo Económicos, u OCDE, promovía unas directivas con las que asegurar el trabajo conjunto de las distintas administraciones para proteger la privacidad y los datos personales. Desde entonces hasta la fecha, hemos vivido varios y profundos cambios de legislación, pasando por la Directiva de Protección de Datos de la UE. Ahora, en 2018, el General Data Protection Regulation, o GDPR, empieza a tomar su verdadero valor, pues será a partir de mayo de este año cuando el periodo de adaptación habrá terminado.

Los primeros acercamientos a la protección de datos

El desarrollo de las Directrices de la OCDE, procedente de la necesidad de adaptar la ya por entonces obsoleta OECE, fue el primer paso para comprometer a los treinta y cinco países participantes a un respeto y claridad mutuos en el traspaso de información.

A medida que crecía la importancia de Internet y la información adoptaba un carácter global, las directrices de la OCDE asentaban el primer sistema de protección de datos personales comprensible en todos sus Estados miembros.

Estas directrices se basaban en ocho principios para asegurar que el interesado fuera notificado cuando se procedía a recopilar sus datos; que estos fueran utilizados para el propósito manifestado y para ninguno más; que, además, estos fines fueran definidos en el momento de la recogida; que sus datos no fueran revelados sin su consentimiento; que el registro de datos fuese puesto a buen recaudo; que el interesado fuese informado de todo; que pudiera acceder a sus datos y hacer correcciones de cualquiera de ellos; y, por último, que el interesado tuviera a su disposición un método para responsabilizar al registrador de datos por no seguir dichos principios.

Y llegó la Directiva de Protección de Datos

En 1995 llegó el momento de actualizar la regulación de los datos de carácter personal y su gestión. La Directiva 95/46/EC de la Unión Europea, conocida también como DPD, o Directiva de Protección de Datos, suponía un avance que incluía las ocho directrices de la OCDE y ampliaba la aplicación en un contexto donde la privacidad era mucho más importante.

Pero el cambio fundamental era en el apartado legal. Y es que las directrices de la OCDE consistían en “recomendaciones del Consejo respecto a las directrices que gobiernan la protección de la privacidad y el flujo transfronterizo de datos personales” y, por tanto, no vinculantes.

La Directiva 95/46/EC cambiaba este aspecto, aportando definiciones más concisas y ámbitos de aplicación concretos. Aunque la directiva en sí no es vinculante para los ciudadanos, los Estados debían trasponer las directivas locales antes de 1998. Con esta modificación, además, se pretendía crear una homogeneidad administrativa y un marco legal igual para todos los Estados miembro.

Adoptando el GDPR

A pesar del avanzado esfuerzo que supuso la aplicación de la Directiva de Protección de Datos, en apenas una década los avances demostraron que esta era insuficiente. Una de las principales críticas de la anterior directiva era el control limitado de los interesados sobre sus datos, lo que incluye su transferencia fuera del espacio europeo.

Esto implica directamente a las multinacionales y empresas de gran calado que han aprovechado el marco deficiente de la anterior directiva para sus propios intereses. Para solventar esta situación, en 2016 se aprobó la adopción del Reglamento General de Protección de Datos, también denominado Control (UE) 2016/679 o, coloquialmente, GDPR.

Desde entonces, y hasta mayo de 2018, todo el mundo deberá adaptarse al reglamento. Lo más destacable del GDPR es que, a diferencia de las directivas previas, no requiere de legislación local, homogeneizando, de una vez por todas, la legislación en cuanto a protección dentro de los Estados miembro y las compañías que trabajan con información de ciudadanos de la UE, dentro y fuera de esta región.

¿Está preparada tu empresa?

La Unión Europea prevé que la aplicación del GDPR supondrá sanciones de hasta veinte millones de euros o el 4% de facturación del periodo anterior por incumplimiento. Ahora que estamos en la recta final es conveniente determinar si nuestra empresa está correctamente adaptada al reglamento.

Todas las empresas que recopilan y almacenan datos personales de sus empleados, clientes y proveedores residentes en la UE se ven afectadas. Esto es importante si tenemos en cuenta que 80% de los datos manejados por las organizaciones consisten en datos no estructurados, disponiéndose de manera dispersa.

La aparición de datos confidenciales de forma cada vez más frecuente pone en el punto de mira la protección de estos ante ciberataques, lo que podría suponer una grave sanción. Las buenas prácticas en el gobierno de la seguridad de los datos (Data Security Governance) son la clave para mitigar estos riesgos y asegurar el éxito en el cumplimiento del reglamento.

Por suerte, para ayudarte con semejante tarea disponemos de herramientas como  Panda Adaptive Defense 360, con su módulo Data Control. Esta herramienta está especializada en simplificar la gestión de estos datos de personales ya que descubre, audita y monitoriza en tiempo real el ciclo de vida completo de estos ficheros. Y es que no olvidemos que mantenernos al día con el GDPR es una tarea activa y meticulosa, pero que podemos simplificar y automatizar si contamos con la ayuda adecuada. ¡No esperes a mayo de 2018!