Ahora estamos ante la aplicación de la GDPR, y los primeros indicadores indican que el cumplimiento de la GDPR es un asunto que los reguladores de privacidad de la UE tomarán en serio. Los oficiales de cumplimiento deben hacer lo mismo.

En primer lugar, dos acciones de aplicación recientes que sugieren que los reguladores de la privacidad tienen el apetito de perseguir exactamente las malas prácticas de gestión de datos que el GDPR debía abordar.

En Gran Bretaña, los reguladores de privacidad anunciaron la intención de multar con Facebook £ 500,000 ($ 650,000) por compartir los datos de los usuarios con Cambridge Analytica, la ahora desaparecida firma involucrada en preguntas sobre la intromisión rusa en las elecciones estadounidenses y europeas.

En los Países Bajos, los reguladores multaron a un banco holandés con $ 62,000 por no responder de manera oportuna a la solicitud de un cliente para ver los datos.

Concedido, la mala conducta en ambos casos ocurrió antes de que el GDPR entrara en vigor. El trabajo de Facebook con Cambridge Analytica ocurrió en 2014; El banco holandés se resistió en 2016. Pero esa multa de £ 500,000 es el máximo permitido por la ley británica por fallas en el gobierno de los datos en ese momento, y el "derecho de acceso" en cuestión con el banco holandés es un principio fundamental del GDPR.

La lección para los oficiales de cumplimiento es que los reguladores ya tenían la voluntad de hacer cumplir las prácticas de mala gestión de datos que el GDPR pretende prevenir, y ahora el GDPR les brinda a los reguladores y ciudadanos de la UE una plataforma mucho más poderosa para presionar sus casos.

En ese sentido, también tenemos estadísticas iniciales sobre la cantidad de quejas de los consumidores desde que GDPR entró en vigencia en mayo. Según el bufete de abogados británico Cordery, el Reino Unido tuvo más de 1.100 quejas en el primer mes de la era GDPR; Holanda tuvo 600 en las primeras dos semanas. Otros países parecen estar reportando números similares, de varios cientos a más de 1,000 quejas. (El Reino Unido lidera el paquete hasta ahora.)

Es revelador que muchas de las quejas se envíen específicamente al regulador de datos de Irlanda, sede de las operaciones europeas de muchas empresas de tecnología de EE. UU., Como Facebook y Microsoft. Eso sugiere que los activistas de la privacidad saben dónde atacar (Irlanda) si quieren imponer sanciones contra grandes empresas de tecnología con vastos datos sobre ciudadanos de la UE.

Tres primeras implicaciones. En primer lugar, el riesgo de cumplimiento de GDPR es real, especialmente las empresas orientadas al consumidor con un alto riesgo de reputación relacionado con la recopilación de datos y las prácticas de uso.

Incluso si los reguladores de privacidad facilitan el cumplimiento (y hasta ahora, muchos lo están), los activistas de la privacidad pueden presentar quejas ante los reguladores. Esas quejas llevan a investigaciones, y las investigaciones cuestan dinero a una empresa. Y las quejas en Irlanda sugieren que los activistas quieren perseguir a grandes jugadores en la recopilación de datos, lo que conlleva grandes multas para quienes no estén preparados.

Segundo, los procedimientos importan. El banco holandés mencionado anteriormente no tenía, o no siguió, un procedimiento para permitir que el cliente vea sus datos personales. Surgirán más casos como este, donde los ciudadanos de la UE ejercen sus "derechos de los sujetos de datos": su derecho a ver datos, el derecho a corregir datos erróneos, el derecho a ser olvidado. Las empresas deben respetar esos derechos para cumplir con el GDPR.

Una pregunta crucial es cómo elaborar procedimientos que cumplan con esos derechos de la manera más eficiente posible. Los procedimientos manuales son lentos y caros. Mientras tanto, los procedimientos automatizados pueden generar malos resultados si una organización responde de manera incorrecta: por ejemplo, un inventario incompleto de datos personales o la divulgación de datos que deben mantenerse confidenciales.

Entonces, incluso si las políticas de recopilación de datos están bien escritas, el cumplimiento, TI y otros departamentos corporativos aún tienen mucho trabajo por delante para desarrollar procedimientos que: (a) trabajen, (b) no interrumpan otros procesos empresariales en un grado innecesario, y (c) son apropiados dado el volumen de solicitudes de datos que recibe una organización y los otros requisitos de retención de datos que tiene.

Tercero, dada la necesidad de procedimientos efectivos, considere si su tecnología para lograr el cumplimiento GDPR está a la altura de la tarea. El cumplimiento requerirá una gran cantidad de evaluación de riesgos (especialmente de terceros), "análisis de brechas de cumplimiento" y trabajo de remediación para cerrar esas brechas. Se pueden utilizar herramientas de automatización de terceros para ayudar a los departamentos de cumplimiento a automatizar los procesos y administrar los datos de manera eficiente.

¿Puede todo ese trabajo tener éxito? Tal vez los oficiales de cumplimiento pueden animarse con otro artículo reciente.

A principios de septiembre, British Airways reveló que los piratas informáticos habían robado datos personales y financieros de 380,000 clientes en una infracción que ocurrió del 21 de agosto al 5 de septiembre. Es demasiado pronto para saber cómo los reguladores de privacidad podrían responder a esa violación, pero BA alertó a todos los afectados. los clientes y el público antes del 7 de septiembre: dentro de la ventana de notificación de incumplimiento de 72 horas requerida por el GDPR.

ALD/FCPA