Después de ser promulgada en abril de 2016 ya está en vigencia la ley GDPR (General Data Protection Regulation) por parte de la Unión Europea. Esta ley se refiere a la protección de la información personal de los residentes europeos, pero también a la exportación de datos fuera de la Unión Europea.

Entonces, ¿por qué debemos preocuparnos de ella si estamos en Latinoamérica? Bueno, porque existe una multa de 20 millones de euros (o el 4% de las ganancias del negocio si este monto es mayor) si un habitante de ese continente visita una página Web de cualquier parte del mundo donde no se respeten sus derechos a privacidad. Si bien parece exagerado que se aplique esa multa en teoría podría suceder y por esa razón existe mucho temor en las empresas dedicadas al E-Business.

El concepto a cumplir, para evitar estas multas, se resume en que es necesario pedir al visitante permiso para guardar sus datos, usar cookies o registrar sus e-mails. Si no se le solicita explícitamente esta autorización NO se puede registrar ninguna información del visitante.

Por lo tanto, para evitar ese castigo es necesario conocer la ley y cumplirla. A continuación se listan 4 consejos tomados de Intereconomía.com (se puede ver en https://goo.gl/6uuCeP):

1. Concienciar y educar. Nadie en la empresa va a ayudar a cumplir con la GDPR si no sabe lo que es. Por esta razón, es indispensable formar a los empleados en cuestiones cómo: ¿Qué requiere la ley y por qué es relevante para la compañía? ¿Cuáles son las sanciones? ¿Qué aplicaciones tienen probabilidades de incumplimiento?

Cualquier empresa que controle datos sobre ciudadanos de la Unión Europea, aunque no tenga presencia en ella, está obligada a cumplir con la GDPR. Esta ley obliga a las organizaciones a implementar procesos y procedimientos completamente nuevos en torno a la recopilación y al almacenamiento de información personal identificable (PII, por sus siglas en inglés). Esto se refiere a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE (dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales, etc.). El objetivo de la GDPR es asegurar que la PII se almacena con el permiso de una persona y que se utiliza para el propósito especificado para el que se obtuvo y sólo durante un tiempo limitado.

2. Monitorizar toda la información. Aún no se sabe cómo evolucionará y como se aplicará la GDPR. Los responsables del cumplimiento de la normativa deben leer sobre el tema todo lo posible, para conocer todas las novedades. También necesita leer al menos algunos puntos de la regulación en sí.

3. Localizar los datos. Encontrar los datos alojados en los entornos TI es clave para evaluar el esfuerzo que se debe hacer con respecto a la normativa. Los sistemas de clasificación de datos pueden automatizar este proceso.

4. Establecer y verificar un sistema de identificación seguro. Todos los regímenes de cumplimiento establecen el registro como un sistema de control esencial, y la GDPR no será diferente. Por lo tanto, un primer paso lógico será revisar y verificar las actividades de identificación en las aplicaciones clave y en la infraestructura de soporte. También se deben implementar controles automáticos o manuales que revisen periódicamente los historiales, y busquen actividades no autorizadas o maliciosas. Por último, debe incluir las actividades del administrador en la infraestructura crítica.

Para terminar con una idea fundamental quiero destacar que las personas que visitan y/o se registran en un sitio Web tienen derecho a preguntar y solicitar todos los datos que la empresa posea. La información que se posea de él se debe la entregar formato csv, por ejemplo, si la solicita.

Sugiero consultar el siguiente enlace (en castellano) para obtener más información respecto a la regulación comentada: http://www.privacy-regulation.eu/es/