JenTelMx
Las empresas están en auge para los expertos en software y privacidad, ya que las empresas de todo el mundo gastan millones de dólares para cumplir con una ley europea de protección de datos, incluso a pesar de la incertidumbre sobre cómo se aplicarán las normas.
El Reglamento General de Protección de Datos (GDPR), que entra en vigor en mayo, es la mayor reorganización de las normas de privacidad de datos personales desde el nacimiento de Internet. Está destinado a dar a los ciudadanos europeos más control sobre su información en línea y se aplica a todas las empresas que hacen negocios con los europeos.
Las industrias más afectadas serán aquellas que recopilan grandes cantidades de datos de clientes e incluyen compañías de tecnología, minoristas, proveedores de servicios de salud, aseguradores y bancos.
La ley tiene una serie de requisitos técnicamente complejos y amenaza con multas de hasta el 4 por ciento de los ingresos anuales de una compañía para aquellos que no cumplen. Las empresas deben poder proporcionar a los clientes europeos una copia de sus datos personales y, en algunas circunstancias, eliminarlos a petición suya. También se les pedirá que informen las infracciones de datos dentro de las 72 horas.
La industria artesanal que se desarrolla en torno a GDPR incluye abogados que asesoran sobre el cumplimiento, consultores de seguridad cibernética y desarrolladores de software que ayudan a las empresas a realizar inventarios minuciosos de grandes cantidades de datos para identificar e indexar información para que pueda ponerse a disposición de los europeos que lo soliciten.
La firma de servicios legales de Nueva York Axiom, por ejemplo, dijo a Reuters que tenía más de 200 abogados de privacidad de datos trabajando en proyectos de GDPR, cerca de una sexta parte de todos sus abogados.
Dijo que contrataría a más de 100 empleados más este año para tratar con GDPR y también crearía programas de capacitación para que más abogados estén calificados para trabajar en ese tipo de proyectos.
Wim Remes, un consultor de seguridad cibernética en Bruselas, dijo que estaba presentando una docena de llamadas relacionadas con GDPR por semana. Sus clientes tienen su sede en Europa y América e incluyen minoristas y empresas de tecnología.
Dijo que las compañías estadounidenses habían estado más lentas para responder a GDPR que sus contrapartes europeas y ahora estaban luchando por ponerse al día. «En los últimos dos o tres meses, la demanda ha sido principalmente de organizaciones estadounidenses», agregó.
LAS EMPRESAS GASTAN MILLONES
Los costos son sustanciales: entre 300 grandes empresas en proceso de cumplir con la GDPR, el 40 por ciento dijo que había gastado más de $ 10 millones, y el 88 por ciento dijo que había gastado más de $ 1 millón, según una encuesta de PwC de estadounidenses, británicos y Ejecutivos japoneses publicaron en septiembre.
«La gente realmente no está descolgando el teléfono por menos de $ 1.5 millones a $ 2 millones», dijo Gant Redmon, director del programa de ciberseguridad y privacidad en IBM Resilient, sobre las firmas consultoras legales y de software que asesoran sobre GDPR.
El trabajo no terminará el 25 de mayo, cuando se inicie la GDPR, ya que las empresas deberán realizar auditorías periódicas de datos para que las autoridades de la UE demuestren que cumplen con los requisitos. Las empresas que manejan información especialmente delicada deberán contratar un oficial de protección de datos.
Lingesh Palaniappan, CEO de Grit Software Systems, describió el trabajo que está haciendo sobre el cumplimiento de GDPR para una empresa de software de tamaño mediano como un proceso manual agotador.
Su personal tiene que revisar cada aplicación de software y base de datos y registrar detalles como el tipo exacto de datos que contienen, ya sean nombres y direcciones, o más información personal, como registros médicos, y quién tiene acceso a ellos. El equipo crea tablas para mantener informada a la alta gerencia sobre qué tan avanzado está el proceso de cumplimiento de GDPR en la empresa.
«Actualmente, estamos literalmente tomando una hoja de Excel, yendo a los equipos (clientes), completando los datos y luego consolidando los datos en otra hoja de Excel», dijo Palaniappan, quien dejó Microsoft Corp (MSFT.O) el año pasado.
El objetivo es facilitar la disponibilidad de los datos de identificación personal, de modo que estas empresas puedan proporcionar copias de la información a los clientes que las soliciten o borrar los datos cuando sea necesario.
La gran preocupación es que, debido a la naturaleza manual del trabajo, los errores que podrían hacer que las empresas no cumplan podrían aparecer, agregó Palaniappan.
«Siempre estamos preocupados, ¿extrañamos algo? ¿Hay algún conjunto de datos que nadie sepa que todavía estamos usando? Esa es una preocupación «.
Aún así, no está claro qué tan estrictamente GDPR, que las naciones de la UE adoptaron en 2016, se aplicará desde el principio.
Muchos observadores esperan que los reguladores adopten un enfoque tolerante y den a las empresas tiempo para poner sus sistemas en orden, reservando penas severas para las grandes firmas que incumplen atrozmente.
Algunos también advierten que las empresas deben tener cuidado en su prisa por cumplir con las nuevas reglas.
«Todo el mundo dice ser ahora un experto en GDPR porque puede ver que hay una demanda muy fuerte y todos se pelean», dijo Paul Lanois, abogado de un gran banco internacional que cotiza en bolsa en Europa, y agregó que revisa los currículos de los consultores para experiencia tratando con los reguladores europeos antes de incorporarlos.
«Tienes que investigarlos, de lo contrario obtendrás a Tom, Dick o Harry diciendo que son expertos en GDPR», dijo Lanois.
Una vez que los datos se clasifican correctamente, hay una gran cantidad de interpretaciones involucradas en cómo la empresa debe manejarlos. El texto de la ley está repleto de palabras como «razonable»; un requerimiento, por ejemplo, dice que las compañías toman «todos los pasos razonables … para asegurar que los datos personales que son inexactos sean rectificados».
Esos pasos, sin embargo, no están definidos. Ahí es donde entran los abogados.
Existe poco consenso sobre si la mayoría de las compañías estarán listas para mayo. Entre las empresas que comenzaron a prepararse para GDPR, el 78 por ciento dice que confía en que cumplirá totalmente con la fecha límite, según una encuesta de Microsoft realizada el año pasado.
Pero Gartner, la firma de investigación, tiene un pronóstico menos optimista, y pronostica que menos de la mitad de todas las empresas afectadas por GDPR cumplirán plenamente a fines de 2018.
Lanois dijo que había una «cantidad abrumadora» de compañías que no estaban preparadas para las nuevas regulaciones.
«Acaban de notar GDPR y ahora están enloqueciendo», agregó. «Aquellos que ya cumplen totalmente, y hay algunos, esos son los pocos afortunados».
