GDPR después de 4 meses, ¿importa? TL: DR sí.

En los últimos meses, semanas o días (según el nivel de procrastinación) previos a la fecha de entrada en vigor del RGPD del 25 de mayo, hubo una oleada de actividad y preparación en los mundos de la tecnología y el marketing.

Se cambiaron y publicaron las Políticas de privacidad, se volvieron a incluir listas de correos electrónicos y algunas empresas retiraron todos sus productos de la UE por temor a las sanciones que podría imponer el RGPD (multas de hasta 20 millones de euros o el 4 % de los ingresos globales anuales, lo que sea superior ).

Hubo algunos que dijeron que esto sería como Y2K, una ráfaga de trabajo que inevitablemente no conduciría a nada, y otros advirtieron que este nuevo régimen cambiaría el mundo del marketing y la privacidad para siempre.

Ya llevamos cuatro meses, ¿quién tenía razón entre esos dos puntos de vista?

En mi opinión, parece que cada día que pasa los mundos de la privacidad y el marketing han experimentado un cambio significativo e impactante. Mis razones para ponerme de ese lado de la cerca son las siguientes:

1. GDPR se está contagiando, en los EE. UU. y en todo el mundo;
2. Se acerca la aplicación;
3. Y la preparación ha tenido sus propios efectos duraderos.

PIB¿Qué?

Comúnmente conocido por sus siglas, GDPR es el Reglamento General de Protección de Datos de la Unión Europea. Entra en vigencia el 25 de mayo de 2018. Hemos producido bastante información sobre la nueva regulación, incluidos podcasts, publicaciones de blog, libros electrónicos y seminarios web. Mire nuestro seminario web a pedido sobre cumplimiento y marketing de GDPR.

En pocas palabras, RGPD:

• El principio clave del RGPD otorga a los consumidores el control de sus datos
• Se aplica a los más de 510 millones de ciudadanos de la Unión Europea de 28 naciones, así como a cualquier empresa que haga negocios con ellos, independientemente de dónde se encuentren.
• Multas de hasta el 4 por ciento de los ingresos globales totales por infracciones

El fuego de la privacidad se está extendiendo

Dado que GDPR se implementó por completo, California, Vermont, Japón, Brasil e India están en proceso de adoptar o considerar alguna versión de legislación similar. Todos estos esfuerzos son diferentes en alcance y cumplimiento. El alcance de Vermont es puramente alrededor de los revendedores de datos. Y la ley de Brasil es tan amplia como la RGPD.

El tema a lo largo de toda esta legislación: Derechos de Privacidad de Datos. La privacidad de los datos y los derechos del individuo es algo que las diferentes jurisdicciones consideran sagrado y que la industria no protege adecuadamente.

Este tipo de regulación de la privacidad de las empresas de tecnología ha estado marcadamente ausente desde la llegada de Internet. Y están luchando lo mejor que pueden contra esta ola que se avecina, al menos en los EE. UU. Aquí hay una parte de la respuesta de AT&T a la legislación de California:

“La legislación de California e iniciativas similares… amenazan con crear una colcha de retazos muy problemática de regulación de la privacidad. … la regulación de privacidad estado por estado llevaría a todos los proveedores a adaptar sus prácticas … a los elementos más restrictivos de las distintas leyes estatales”.

Esta táctica de cabildeo ha demostrado ser popular entre los tipos anti-regulación en Washington, DC. Ahora, su argumento es menos efectivo para los gigantes de la tecnología, como AT&T o Google, que pueden segregar el tráfico según las fronteras estatales. Pero para las empresas tecnológicas más pequeñas, ese tipo de proceso es difícil, si no imposible, sin un gasto masivo y demasiado trabajo.

Ante esos desafíos, las pequeñas y medianas empresas deben decidir entre dos malas opciones: retirarse de los mercados con estas restricciones; o hacer que sus productos y servicios cumplan con la normativa más estricta aplicable.

Se acerca la aplicación del RGPD

Ese aliento que has estado conteniendo, sigue conteniéndolo, se acerca la aplicación

Ha habido una pausa tranquila, no muy diferente al ojo de un huracán, desde que el RGPD entró en vigor por parte de las Autoridades de Protección de Datos que administran la ley. Pero esto no significa que no estén persiguiendo e investigando activamente las denuncias. Todavía no ha habido ninguna acción, pero como han confirmado múltiples fuentes, esto se debe más a la necesidad de contratar y capacitar al personal necesario que a la falta de acción. Hubo informes de que la DPA irlandesa tenía casi 100 ofertas de trabajo en mayo. Esa es una gran cantidad de mano de obra que se dedicará a la aplicación de la ley y las investigaciones, una vez que todos estén contratados, capacitados e incorporados.

La incorporación promedio para alguien en un trabajo de cumplimiento de esta naturaleza (aunque esto es un poco el primero de este tipo) parece ser de 3 a 6 meses. Y se espera que las investigaciones tomen algunas semanas para las infracciones más pequeñas y meses para las más importantes. Entonces, han pasado 4 meses desde que GDPR entró en vigencia y no vemos ninguna acción, no es tan sorprendente.

¡Descubre esa deuda tecnológica!

Uno de los efectos secundarios más interesantes en el período previo a GDPR para las empresas de tecnología fue descubrir la deuda técnica que había pasado desapercibida. Para aquellos que no están familiarizados, la deuda técnica es el equivalente de ingeniería de software de su préstamo estudiantil; debe devolverse y crece con el interés con el tiempo si no se esfuerza. La deuda tecnológica es natural en cualquier negocio basado en código o dependiente de código que a menudo necesita soluciones rápidas (un préstamo a corto plazo) para llevar un producto al mercado.

Varios de los requisitos de GDPR fueron muy difíciles para los ingenieros de software para encontrar soluciones con sus productos actuales. Por ejemplo, los derechos otorgados por GDPR (Acceso, Portabilidad, Corrección, Borrado, Limitación) a menudo no eran algo que se hubiera integrado en las plataformas y aplicaciones.

Insertarlos ahora en un producto tomó tiempo y energía. Pero este trabajo debería poder usarse para las cosas que se avecinan, como la privacidad electrónica. Del mismo modo, las políticas de seguridad y privacidad por diseño más nuevas y aceptadas que la tecnología está adoptando en gran medida requirieron mucho del mismo trabajo. Los esfuerzos en torno a GDPR han expuesto la facilidad o dificultad con la que se pueden implementar los sistemas de seguridad y privacidad diseñados de una empresa.

Las empresas de tecnología a menudo son reacias a realizar estas inmersiones profundas en su código, ya que a menudo su trabajo no está relacionado con el próximo lanzamiento del producto. Tener que hacerlo por GDPR, o alguna futura regulación de privacidad, siempre es un beneficio; al menos a largo plazo.