Nueva Ley de Protección de Datos de la UE: dónde están las dificultades para cumplirla
Tras la aprobación en diciembre pasado de la nueva ley de protección de datos de la UE, algunos puntos podrían suponer un problema para muchas empresas, que tienen hasta finales de 2017 tiempo para adaptarse a la nueva legislación.
A grandes rasgos, la nueva ley exige a las empresas tres puntos básicos de obligado cumplimiento: contar con el consentimiento expreso por escrito de los clientes para poder utilizar sus datos personales para fines distintos a la prestación del servicio para el que los proporcionaron, respetar el derecho al olvido y disponer de un diseño de los sistemas de TI pensado en la privacidad. Igualmente, la nueva legislación ha elevado las sanciones ante los incumplimientos, pudiendo llegar las multas hasta el 4% de la facturación del infractor.
En opinión de Compuware, el primero de estos puntos es uno de los más complicados en el entorno de TI,ya que, según la nueva normativa, cuando las organizaciones realizan pruebas de aplicaciones con datos reales de sus clientes, también deberían contar con la aprobación del cliente final. “Si los clientes no lo aceptan, la prueba de aplicaciones de software se vería gravemente afectada, más si tenemos en cuenta que en muchas ocasiones serán empresas externas las que se responsabilizarán de estos procesos”, señala.
Aún así, según Compuware, no hay excusa para aquellas empresas que todavía siguen cediendo datos a colaboradores sin enmascarar previamente y, según sus datos, hay un 20% de las empresas no enmascara o protege los datos de los clientes antes de compartirlos con empresas subcontratadas, con las que además únicamente suelen firmar acuerdos de confidencialidad que ni siquiera cumplen con la actual legislación.
En lo que se refiere al derecho al olvido, Compuware afirma que para cumplir con esta normativa las empresas deben controlar exactamente en qué lugar de sus sistemas de TI reside cualquier información de identificación personal (PII) de sus clientes. “Esto exige incluir sus propias bases de datos, así como toda la información utilizada por empresas externas subcontratadas, socios o proveedores de servicios cloud. Estos datos podrían encontrarse en muchos casos en empresas de desarrollo de aplicaciones fuera de la UE, lo que constituye un incumplimiento de la nueva normativa”, según Compuware.
A ello se suma que muchas empresas no tienen una visión clara de cómo afectará la nueva legislación sobre protección de datos a la prueba de aplicaciones en desarrollo. Por ello, considera muy importante que “las empresas comiencen ya a adaptar sus sistemas, tal y como señala el punto que hace referencia al diseño de los sistemas pensando en la intimidad de los datos que demanda la UE”.
