ISACA Journal
Volume 3, 2,016 

Translated Articles 

La Complejidad esta en los detalles: La nueva ley de protección de datos de la UE promete el control al usuario 

Michael Vanderpool, CISA, CISSP 

Cuatro años después de su introducción, la Comisión Europea ha llegado recientemente a un acuerdo sobre el Reglamento General de Protección de Datos (GDPR) mientras organizaciones de todo el mundo esperan a los detalles, los cuales deben ser liberados pronto.

A menudo descrita como “apta para la era digital” por sus partidarios en Bruselas, Bélgica, la legislación tiene como objetivo poner a los usuarios en control de sus datos y armonizar las reglas bajo las cuales los datos privados podrán ser obtenidos o mantenidos en todo el bloque de 28 países. El GDPR actualiza la anticuada regulación de privacidad de 1995, redactada tres años antes de la fundación de Google. En un esfuerzo por mantenerse al día con la tecnología y abordar los temas de privacidad importantes para la Comunidad Europea, el Parlamento Europeo llegó a un acuerdo sobre la ley de protección de datos de la Unión Europea (UE) en diciembre de 2015, con detalles que se publicarán en un futuro cercano y que serán exigibles en el año 2018.

Debido a que esta nueva legislación se declara aplicable a cualquier organización que haga entrega de bienes o servicios en cualquier parte de la UE, no se necesita mucha imaginación para comprender su alcance y extensión. El GDPR no es simplemente una nueva versión de la legislación de 1995, sino que es un nuevo conjunto de reglas revolucionarias que las organizaciones tendrán que rápidamente comprender, adoptar y cumplir o enfrentarán importantes consecuencias financieras.

El objetivo fundamental de la nueva regulación es poner a los usuarios en control de lo que se almacena sobre ellos en línea. “Las nuevas normas devolverán a los usuarios el derecho a decidir sobre sus propios datos privados”, dice el miembro líder del Parlamento Europeo (MEP), Jan Philipp Albrecht.1 Una característica destacada de la nueva legislación amplia el popular “derecho a ser olvidado”, una regla vigente en la Unión Europea desde 2006, lo que permite a los usuarios exigir la eliminación de sus fotografías, vídeos o información personal de cualquier registro de Internet que le permitan ser encontrado por los motores de búsqueda. El derecho fue implementado inicialmente para los motores de búsqueda, pero ahora se ha extendido a todos los servicios web, incluyendo sitios de medios sociales como Facebook.

El derecho a saber que ha sido hackeado es un valorado componente de la GDPR y requiere que las organizaciones informen a una autoridad central dentro de las 72 horas cualquier exposición de datos que represente un riesgo para los dueños de estos. También se requiere que los usuarios que hayan sufrido un compromiso de alto riesgo, sean notificados tan pronto como sea posible, aunque la ambigüedad de esta frase, hace que algunos sean escépticos sobre la aplicabilidad de esta directiva.

Los críticos de la nueva regulación de protección de datos han apuntado a un número de sus cláusulas. Uno de los aspectos más controvertidos es el del castigo por el incumplimiento – las organizaciones enfrentan multas de hasta el 4 por ciento de su facturación total anual por no cumplir con cualquier parte de la GDPR. “ese tipo de altas sanciones desincentiva el negocio y la inversión” dice el oficial de privacidad global de Intel, David Hoffman.2 Los escépticos ya están llamando a la regulación el último remezón en Silicon Valley y dicen que es cada vez mayor el conflicto con los gigantes de la tecnología como Google, Facebook y Microsoft.

La ambigüedad en algunas de las directrices y el lenguaje en la GDPR es también un motivo de preocupación. Un ejemplo es el requisito para que algunas organizaciones contraten un oficial de protección de datos. De acuerdo con la regulación, organizaciones pequeñas o medianas están exentos de la obligación de designar un oficial de protección de datos, en la medida que el procesamiento de datos no sea su principal actividad de negocio. Bajo esta definición ¿las empresas que realizan verificaciones de antecedentes estarían exentos? Estas organizaciones suelen ser un objetivo para los ladrones de datos, y las exposiciones de datos a gran escala en este tipo de empresa, no son poco comunes. No obstante, si este tipo de organizaciones se auto definen como de “Administración de personal” o “Reclutamiento de personal” como su negocio principal, ellas podrían afirmar que están exentas de cumplir con la regulación, a pesar de que custodien extensa y valiosa información personal, a veces de manera permanente.

“Incerteza legal y grandes multas es un cocktail tóxico”, apunta el miembro de la junta de la Oficina Europea de Publicidad, Allan Serensen.3 Las grandes sanciones por infracciones regulatorias, calculadas globalmente, combinadas con una redacción ambigua (a veces), provoca que algunos se pregunten si la regulación está diseñada más bien para que la Unión Europea haga otra captura de efectivo desde Google, que para proteger los datos de los usuarios. En respuestas, el patrocinador de la GDPR Jan Phillipp Albrech afirma que, “los únicos que se beneficiaran de que esta ley se posponga una y otra vez serán las grandes compañías de datos de Silicon Valley”.

Organizaciones de investigación médica han salido en contra esta regulación, alegando que sería ralentizar o incluso detener sus esfuerzos de investigaciones en curso basados en datos. Más de 50 organizaciones de patentes e investigaciones médicas benéficas han escrito a los diputados europeos acerca de preocupaciones con leyes de datos excesivamente restrictivas. Algunas organizaciones afirman que los cambios a la ley pueden hacer impracticable en el mejor de los casos e ilegal en el peor, especialmente para proyectos de gran escala.4

Aunque muchos investigadores médicos están satisfechos con los últimos cambios en la redacción de la regulación, está claro que hay muchos actores que han quedado en la mira de la GDPR. Incluso las organizaciones que están haciendo los primeros intentos por cumplir con las nuevas normas están muy ocupadas para llegar a tiempo. Cada una de los 28 países del bloque interpretará el reglamento de la UE de forma independiente, y en algunos casos existe un margen discrecional para la definición de las leyes reales. Por ejemplo, la edad mínima de un niño para utilizar los sitios de redes sociales sin la aprobación expresa de los padres estarán comprendidas entre los 13 y los 16, pero la edad específica puede ser definida por cada país.

La meta declarada tempranamente de crear una “ventanilla única”, es decir, un único punto de contacto para cualquier reclamo sobre una empresa, sugiere que el principal punto de presencia de la empresa infractora en la UE, es el regulador del país, quien se encargaría de los reclamos. Debido a las preocupaciones expresadas, sin embargo, ahora se permite que el regulador de cualquier nación, pueda presentar una queja en el punto principal de presencia del regulador, dependiendo del lugar donde el demandante resida y donde la demanda sea presentada. Como dice Johannes Caspar, jefe de la autoridad de protección de datos de Hamburgo en Alemania, “El mecanismo contemplado en la normativa de protección de datos establece un trámite hiperburocrático que dará lugar a procedimientos de mayor complejidad y duración”.5

El acceso a sus propios datos permite a los usuarios ver exactamente qué datos están siendo retenidos por un sitio web y la forma en que se están utilizando. El derecho a la portabilidad de los datos (que muchos críticos etiquetan como un despilfarro permite a los usuarios descargar sus datos y preferencias personales para importarlas y usarlas en otro sitio web. La portabilidad de datos ha sido motivo de controversia y muchos afirman que no facilita la protección de datos, ni le corresponde estar en la regulación. Sus referencias ya se han minimizado en los resúmenes más recientes de la regulación, y muchos esperan que quede completamente fuera en la versión final. Un escenario que ilustra este requerimiento implicaría que clientes de un sitio web comercial, podrían descargar sus preferencias de compras y cargarlas en un sitio de la competencia. Dependiendo de las categorías de productos, jerarquías y taxonomía de nombres de cada sitio web de compras, este proceso, que puede parecer simple en los pasillos del Parlamento, crea reales obstáculos para los arquitectos de tecnología, y los críticos afirman que no añade valor al objetivo fundamental declarado por la regulación para proteger los datos del usuario.

Como un ejemplo de la exigencia de la portabilidad de datos, imagine ser dueño de la Compañía Pizza A, que recibe los pedidos en línea. Los clientes tienen un perfil en línea, que contiene su dirección, número de teléfono y su historial de pedidos con el fin de hacer los nuevos pedidos de despacho rápida y eficientemente. El cliente John Smith llama y exige le sea entregado su perfil y su historial para que pueda hacer pedidos en la Compañía de Pizza B. Las nuevas regulaciones requieren que la información le sea entregada. ¿Este nuevo proceso agrega valor a la Compañía de Pizza A? ¿Sirve para proteger los datos de John Smith? Y, a menos que la oferta de pizzas de la Compañía de Pizza B sea exactamente igual a la de la Compañía de Pizza A, el historial de pedidos va a servir de poco para la Compañía de Pizza B cuando tomen su primera orden. El proceso, sin embargo, aumenta la exposición de los datos de John Smith (a través de las transmisiones adicionales de correos electrónicos) y coloca un nuevo peso sobre la Compañía de Pizza A, que de acuerdo con la nueva normativa, se requiere para proporcionar el servicio de suministro de datos para ex-clientes (que no generan ingresos).

El desafío en el cumplimiento de directivas de la Comisión Europea es bien conocido por las empresas de tecnología. Desde la publicación en el 2012, del artículo 17 del Reglamento de protección de datos, las empresas de tecnología han tenido dificultades para mantenerse en cumplimiento del requerimiento de “derecho a ser olvidado” sin dejar de ofrecer a sus usuarios una experiencia positiva en línea. Por ejemplo, eBay ha tenido dificultades para cumplir el requisito estricto de eliminar en forma inmediata los datos de los usuarios, hecho excepcionalmente difícil debido al número de bases de datos en la que residen los datos de los usuarios.

También se encuentra en la mira de la GDPR la práctica de perfilamiento de usuarios, una práctica generalizada en línea que permite a los sitios web el recopilar y clasificar la información sobre sus visitantes, lo que les permite adaptar la experiencia en el sitio web y presentar publicidad más relevante. Más allá de simplemente utilizarla para publicidad, la tecnología ha sido utilizada por las compañías de seguros para monitorear y recompensar el comportamiento de conducción segura y por el uso de las redes sociales para el reconocimiento y etiquetado de fotografías que contienen los rostros de sus usuarios. Este tipo de implementaciones ahora requerirán del consentimiento para cada uso, y ahora se les solicitará a todas las compañías que le indiquen a cada visitante del sitio web:

  • Por qué los usuarios están siendo perfilados
  • En qué categorías (grupo) están siendo clasificados
  • Quién puede acceder a los datos
  • La lógica utilizada en estas determinaciones
  • Las consecuencias de tal procesamiento

Si bien algunos de estos nuevos requisitos ya se ven comúnmente en declaraciones de descargos como “Utilizamos su información para mejorar su experiencia de compra”, la divulgación requerida del real algoritmo lógico utilizado es particularmente innovador. Como Álvaro Bedoya, director ejecutivo del Centro de Privacidad y Tecnología del Centro de Derecho de la Universidad de Georgetown (Washington DC, EE.UU.), dice: “En este momento, gran parte de nuestras vidas en línea está determinada por algoritmos que son totalmente opacos. El derecho de acceso a la “lógica” detrás de procesamiento de datos podría ser un importante paso en el sentido de la apertura de esta caja negra”. Las empresas de tecnología como Google a menudo ven sus algoritmos como sus secretos comerciales más valiosos. La divulgación de fórmulas lógicas específicas es visto por muchos como un disimulado intento de la Comisión Europea para ver detrás de las cortinas sobre cómo operan estas empresas.

El alcance territorial de la GDPR sigue siendo uno de sus aspectos más controvertidos. Con su alcance declarado como cualquier organización que haga sus productos o servicios disponibles para cualquier sujeto en la UE, la Unión Europea podría estar pronto regulando la Internet. Sitios web populares como Google y Facebook tendrían que ofrecer un programa diferente a los clientes europeos o adaptar sus servicios globales para estar en cumplimiento. Y con sólo una infracción de las reglas generando una multa potencial del 4% de sus ingresos (para Google esto es actualmente US $ 3 mil millones), las compañías enfrentan decisiones difíciles en los próximos meses.

Siendo sus objetivos declarados “ fortalecer los derechos de privacidad e impulsar la economía digital de Europa”, muchos críticos reclaman que la regulación pierde el foco en su totalidad. Si bien hay algunos componentes que abordan eficazmente los problemas de privacidad, otros aspectos son extremadamente costosos y difíciles de cumplir, dejando a las empresas de tecnología con decisiones difíciles de tomar en los próximos meses cuando se trate de atender a sus clientes europeos. Incluso aquellos que decidan cambiar sus servicios para poder cumplir con la nueva regulación enfrentarán numerosas dificultades en los próximos 24 meses. “La escala y la amplitud de los cambios de la UE a las reglas de privacidad generarán desafíos sin precedentes para los negocios y cualquier entidad que posea o utilice los datos personales europeos, tanto dentro como fuera de la UE”, explica Stewart Room, director de privacidad de los datos en PwC.6 “La mayor parte de las empresas estarán sorprendidos por la magnitud de las nuevas normas y el trabajo que hay que hacer antes de que las leyes entren en vigor dentro de dos años, que no es mucho tiempo para la magnitud de los cambios internos que serán requeridos”.

Como es común con las resoluciones de la Comisión Europea, la regulación se enfrentará ahora a una revisión más detallada, cuando las 28 naciones del bloque asimilen los requisitos individuales dentro de sus leyes nacionales, en los próximos meses. Mientras que la GDPR está programada para entrar en vigor el 2018, no es difícil imaginar, incluso más retrasos si los países miembros no pueden llegar a un acuerdo interno sobre la aplicación y ejecución requerida de la regla. Será particularmente interesante ver la recepción en Irlanda de esta regulación, ya que Irlanda es el hogar de muchas empresas de tecnología extranjera en Europa. En el 2013 la crítica a la regulación por parte de la Presidencia irlandesa se centraba en la ausencia de un enfoque basado en riesgo, en el borrador de la regulación. Dónde el riesgo real fuese inferior, los irlandeses querían que la cantidad de regulaciones se redujera al mínimo. La presidencia también expresó su preocupación por las “necesidades de las micro, pequeñas y medianas empresas (PYME)”.7

Así es que, como el bloque de 28 naciones recibe los detalles del borrador en las próximas semanas, nadie debe sorprenderse de ver un nuevo debate acerca de la GDPR, que inicialmente fue propuesta en 2012. Todo se reduce a los detalles, y los detalles han sido conocidos por ocultar sorpresas desagradables.

Notas

1 European Parliament News, “New EU Rules on Data Protection Put the Citizen Back in the Driving Seat,” press release, 17 December 2015, www.europarl.europa.eu/news/en/news-room/20151217IPR08112/New-EU-rules-on-data-protection-put-the-citizen-back-in-the-driving-seat
2 Dow Jones Business News, “EU Privacy Law Has Broad Implications,” Nasdaq, 17 December 2015, www.nasdaq.com/article/eu-privacy-law-has-broad-implications-20151217-00441
3 Dwoskin, E.; “EU Data-Privacy Law Raises Daunting Prospects for U.S. Companies,” The Wall Street Journal, 16 December 2015, www.wsj.com/articles/eu-data-privacy-law-raises-daunting-prospects-for-u-s-companies-1450306033
4 European Parliament, debate transcript, Strasbourg, France, 11 March 2014, www.europarl.europa.eu/sides/getDoc.do?type=CRE&reference=20140311&secondRef=ITEM-013&language=EN&ring=A7-2013-0402
5 Fioretti, J.; “EU Data Protection Reform May Promise More Than it Delivers,” Reuters, 5 January 2016, www.reuters.com/article/us-eu-dataprotection-idUSKBN0U41CQ20160105
6 BBC News, ”EU Data Laws Threaten Huge Fines,” 16 December 2015, www.bbc.com/news/technology-35110909
7 Hunton & Williams, ”Irish Presidency Reports on Progress of the Proposed EU Regulation,” Huntonprivacyblog.com, 26 March 2013, https://www.huntonprivacyblog.com/2013/03/26/irish-presidency-reports-on-progress-of-the-proposed-eu-regulation/

Michael Vanderpool, CISA, CISSP
Es un auditor de TI en Credit Suisse, con base en la ciudad de Wroclaw, Polonia. Sus más de 12 años de experiencia en tecnología de la información han sido principalmente en seguridad de la información, riesgo y cumplimiento. Con una experiencia en los sectores de tecnología y financieros, Vanderpool ha realizado una variedad de evaluaciones de riesgos TI, auditorías y revisiones de control para corporaciones internacionales y bancos utilizando marcos internacionales como COBIT, COSO e ISO 27001. Antes de ingresar en Credit Suisse, Vanderpool trabajó para UBS e IBM.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.