¿Qué es la GDPR y cómo afecta a la aplicación de la PSD2?

En el primer semestre 2018, entrarán en vigor dos regulaciones importantes en relación a los datos y a la economía digital en la Unión Europea: la GDPR y la PSD2.

Ambas regulaciones se basan en el principio de que los datos personales son propiedad de las personas y por eso deben poder elegir cómo se usan y con quién se comparten. Ambas persiguen reforzar la seguridad de las personas en la economía digital, pero numerosas voces alertan de que la aprobación de la GDPR pone en peligro la aplicación de la PSD2.

¿Qué es la GDPR?

La GDPR (General Data Protection Regulation) es la nueva regulación europea en materia de protección de datos que fue aprobada en abril de 2016 y entrará en vigor en todos los países miembros de la Unión Europea el 25 de mayo de 2018. Las organizaciones que la incumplan tendrán que hacer frente a importantes sanciones financieras. Por eso, la GDPR supone un reto a superar por parte especialmente del CIO, pero también del CEO y de otros roles dentro de la empresa.

Esta normativa es fruto de cuatro años de trabajo para equiparar la protección y la seguridad de los datos personales a la transformación digital que vivimos en la actualidad.

Sustituirá a la directiva que se gestó en los albores de la democratización de internet. Un regulación de 1995 que resulta insuficiente ante el panorama de disrupciones tecnológicas que estamos viviendo en los últimos años (y las que quedan). Big Data, Cloud Computing, e-Commerce, IoT, machine learning… son algunos conceptos cada vez más presentes en nuestro día a día y que generan importantes cambios en la manera en que los datos personales son utilizados por las empresas.

La UE quiere dar a las personas mayor control sobre cómo sus datos personales son usados, es decir, garantizar la privacidad y la seguridad de estos datos y en definitiva mejorar la confianza de la población en la economía digital emergente.

Esta nueva regulación tendrá un impacto mundial, ya que no solo atañe a las empresas europeas, sino que afecta a las multinacionales que procesan datos de personas residentes en la Unión Europea, independientemente de su ubicación y de dónde se produzca el procesamiento de los datos. Las compañías que no cumplan la GDPR podrán enfrentarse a multas de hasta el 4% de su facturación anual o a una sanción máxima de 20 millones de euros.

En este sentido, la nueva normativa exige mayor responsabilidad y proactividad e impone a las compañías obligaciones sobre privacidad y seguridad en relación con el tratamiento de la información personal. Así, la UE pretende ofrecer un entorno legal más simple y claro para que las empresas replanteen sus procedimientos y establezcan un programa sólido de gobernanza de datos y transparencia.

Pero a solo 6 meses de su entrada en vigor, diversas encuestas confirman la confusión existente entre las empresas sobre cómo llevar a cabo el cumplimiento normativo o compliance.

Cambios principales y novedades de la GDPR

Buceamos en esta nueva normativa – un documento de 88 páginas – para comprobar cuáles son sus puntos clave y qué modificaciones presenta respecto a la normativa anterior, más allá del aumento en el alcance territorial y la imposición de sanciones.

Definición de ‘dato personal’

La GDPR amplía el concepto y considera dato personal cualquier información que pueda ser usada para identificar directa o indirectamente a la persona, como por ejemplo: nombre, foto, dirección de e-mail, detalles bancarios, posts en redes sociales y otras webs de networking, afiliación sindical, política o religiosa, información médica, datos genéticos y biométricos e identificadores únicos como las cookies o las direcciones IP.

Consentimiento inequívoco y explícito

Se refuerzan también las condiciones del consentimiento: deberá realizarse de manera activa por parte del usuario, fruto de un contrato o formulario con cláusulas claras y concisas. Se prohíben, por ejemplo, consentimientos a través de casillas ya marcadas o por inactividad del usuario.

Comunicación de violación de datos personales

Las empresas están obligadas a informar a la autoridad competente y al usuario de cualquier violación de sus datos que ponga en riesgo sus derechos y libertades individuales (hackeo o robo de datos). Y tendrán que hacerlo en las 72 horas posteriores a detectarla.

Derecho de acceso y de portabilidad de datos

La GDPR pretende aumentar la transparencia y el empoderamiento de los usuarios. Las personas tienen derecho a saber si sus datos personales se están procesando, dónde y con qué propósito. La nueva regulación introduce también la portabilidad de datos: el derecho de un sujeto a contar con una copia de la información almacenada sobre él y a trasladarla a otro sitio.

Derecho al olvido

El usuario tiene derecho al borrado de sus datos personales y a que se detenga el procesamiento de sus datos por parte de terceros, siempre que no existan razones legítimas de interés público para conservarlos.

Protección de datos por diseño

Este concepto se refiere a la obligación de las organizaciones de introducir los elementos y mecanismos para la protección de la privacidad y la seguridad de los datos desde el inicio del diseño de los sistemas. La protección debe estar incluida por defecto en la configuración predeterminada y no incluirse como un añadido posterior.

Nuevo rol: Data Protection Officer

Para garantizar su cumplimiento, la nueva regulación crea la figura del Data Protection Oficer (DPO) o Delegado de Protección de Datos. Un rol obligatorio para organismos públicos y empresas cuya actividad principal consista en operaciones de procesamiento que requieren un monitoreo de datos a gran escala, datos de categorías especiales o datos relacionados con condenas y delitos penales.

¿La GDPR genera conflicto con la PSD2?

La PSD2 (Payment Service Providers 2) es la nueva directiva europea en materia de pagos que se hará efectiva a partir de enero del próximo año.

Uno de los mayores cambios que supone la PSD2 es la obligación de las entidades bancarias de facilitar a terceros el acceso a través de APIs a sus servicios de pago y a las cuentas de sus clientes, previo consentimiento del titular. Bajo la PSD2, los TPPs (Third Party Providers) podrán acceder a la información de la cuenta del cliente y podrán emplear la infraestructura de los bancos para facilitar el inicio de pago.

A priori, este punto se combina sin problema con el derecho a la portabilidad que introduce la GDPR, pero en la práctica no queda claro quién debe encargarse de recoger el consentimiento.

Este y otros detalles confusos en la conciliación de ambas regulaciones hace pensar que una empresa que deba elegir entre implementar la PSD2 o cumplir con la GDPR, se decantará por esta última debido a las graves sanciones financieras que puede implicar su incumplimiento.

Por eso es importante, evitar considerar ambas normativas por separado, sino garantizar que los requisitos de una y otra estén coordinados y complementados, de manera que salgan beneficiados tanto los usuarios, como las empresas que quieren optimizar sus oportunidades en Europa.

¿Te pareció interesante? Compártelo:
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPrint this pageEmail this to someone

Sobre el Autor: María José Martín

Marketing & Communications Manager en Profile Software Services