El 25 de mayo de 2024 marcó el sexto aniversario de la entrada en vigor del Reglamento General de Protección de Datos (GDPR). Esta legislación integral afectó todos los aspectos de la vida empresarial en Europa. Aunque tomó tiempo adaptarse, seguir y cumplir con el GDPR ahora se ha convertido en algo natural para empresas de todos los tamaños. Después de seis años del GDPR, ¿cómo ha impactado la privacidad de los datos en el sector? Conversamos con Elena Belyaeva, Socia Legal de Negocios en Europa en Inchcape, para conocer más.
Algunas cosas sobre mí
Estudié derecho en la Universidad Estatal de Kazán y luego obtuve una Maestría en Derecho en Derecho Americano y Europeo en Pericles LL.M. Actualmente estoy cursando un programa avanzado de Maestría en protección de datos, ciberseguridad y gestión de datos en la Universidad de Maastricht (Países Bajos). En octubre de 2019, me uní a Inchcape como Socio Legal de Negocios para Europa del Norte y Rusia. Actualmente, soy responsable del cumplimiento legal y regulatorio en Europa y también me desempeño como Oficial de Protección de Datos (DPO) para Europa. Antes de unirme a Inchcape, trabajé para el Comité Organizador de los Juegos Olímpicos de Invierno Sochi 2014, en firmas de abogados y en el sector bancario.
¿Qué significa realmente la privacidad de los datos?
La privacidad de los datos se trata de tener un mayor control sobre cómo se recopilan, almacenan y utilizan tus datos personales. Es relevante tanto para la empresa que procesa los datos como para los individuos. La privacidad de los datos significa que puedes decidir quién tiene acceso a tus datos, por qué se están utilizando, dónde se almacenan y si se emplean todas las medidas organizativas y técnicas relevantes para protegerlos. En pocas palabras, es un sistema que garantiza que los datos privados permanezcan privados.
¿Cuál es el origen de las regulaciones de privacidad de datos?
La base de la privacidad y protección de datos se remonta a la década de 1950 con el establecimiento del Convenio Europeo de Derechos Humanos. Parte del convenio aseguraba que todas las personas tenían derecho a la privacidad, independientemente de quiénes fueran. La introducción del RGPD ha mejorado la legislación existente y la ha actualizado, enfatizando la protección de los datos personales en la era digital, donde los desafíos son muy diferentes a los enfrentados hace cincuenta años.
El actual Reglamento General de Protección de Datos (RGPD) está en vigor desde el 25 de mayo de 2018 y es reconocido como la ley de privacidad y seguridad más estricta del mundo. Las personas u organizaciones que incumplan sus regulaciones de privacidad y seguridad pueden enfrentar sanciones que podrían ascender a decenas de millones de euros.
¿El RGPD aplica fuera de la UE?
Sí. Aunque fue formulado y aprobado por la Unión Europea, el RGPD aplica a organizaciones a nivel mundial. Cualquier empresa que recopile o dirija datos relacionados con individuos en la UE está obligada a cumplir con el RGPD. Si nuestras empresas del Grupo fuera de la UE colaboran con socios OEM europeos o tienen acceso a datos de residentes de la UE, el RGPD también será aplicable. Los socios externos fuera de la UE también pueden estar regulados por requisitos adicionales de cumplimiento del RGPD.
¿Existen tendencias en la expansión de las leyes de protección de datos y cuál es el papel del RGPD en esto?
La influencia del RGPD se ha extendido más allá de la UE, impulsando a otros países a revisar y actualizar sus propias regulaciones de protección de datos. Varios estados de EE. UU., Chile, Kenia, Etiopía e incluso China han introducido leyes similares. Esto señala un cambio global hacia la priorización de la protección de datos como un estándar universal.
¿Cuáles son los riesgos de no cumplir con el RGPD?
Todos están obligados a cumplir con la legislación del RGPD, ya sea una corporación multinacional o una operación de una sola persona. Existen multas significativas por violaciones del RGPD. Mientras que las pequeñas empresas pueden enfrentar multas que ascienden a miles de euros, las grandes corporaciones pueden estar sujetas a sanciones mucho más altas. Por ejemplo, Meta (Facebook) fue multada con 1.200 millones de euros en 2023 por no cumplir con el RGPD. No implementaron medidas suplementarias adecuadas para transferir datos de la UE a los EE. UU., lo que subraya el enfoque estricto de cumplimiento de la UE.
En otro caso reciente de febrero de 2024, la Autoridad de Privacidad de Datos impuso una multa de 79 millones de euros contra ENEL Energia por mala conducta en telemarketing. El regulador encontró que la empresa no evaluó correctamente los riesgos vinculados a su interfaz CRM y no implementó medidas suficientes para proteger el acceso a las credenciales. Estos dos casos por sí solos demuestran cuán seriamente la UE toma el cumplimiento del RGPD.
¿Son las personas más conscientes de sus derechos de privacidad de datos bajo el RGPD?
Absolutamente. Ha habido un cambio notable en la conciencia pública respecto a la protección de datos digitales en particular. Las personas también son mucho más conscientes de sus derechos a saber exactamente cómo se recopilan, almacenan y utilizan sus datos. Desde que el RGPD entró en vigor hace seis años, más de la mitad de los ciudadanos de la UE han tomado conciencia de que tienen un derecho fundamental a acceder a los datos personales que las empresas puedan tener sobre ellos. En Inchcape, actualmente estamos recibiendo más solicitudes de los titulares de datos. Para garantizar el cumplimiento en el manejo adecuado de todas las solicitudes, hemos incluido simulaciones de Solicitudes de Acceso de los Titulares de Datos (DSAR) en nuestras pruebas regulares de cumplimiento de privacidad de datos.
¿Qué más está haciendo Inchcape para cumplir con el RGPD?
En Inchcape, entendemos la importancia de proteger los datos personales y estamos comprometidos a mantener los más altos estándares de privacidad de datos. Nuestro Marco de Negocios Responsable está diseñado para garantizar que la protección de datos siga siendo una prioridad a medida que continuamos creciendo y evolucionando. Los Datos & Digital son un habilitador clave de nuestra estrategia Accelerate, y a medida que nuestro negocio se expande, el volumen de datos personales que manejamos naturalmente crece. Por lo tanto, debemos enfocarnos y trabajar para mejorar nuestro cumplimiento general con las regulaciones de privacidad de datos.
En Europa, además de los controles globales de privacidad de datos implementados en Inchcape, también contamos con un sólido programa de cumplimiento de privacidad de datos que incluye pruebas de privacidad de datos en 42 áreas para cada mercado. También estamos trabajando continuamente para aumentar la conciencia del personal sobre la privacidad de datos en todos los niveles mediante programas educativos regulares para todo el personal y un programa educativo separado para la gerencia.
Este año, introdujimos un programa educativo dedicado a la privacidad de datos para los campeones de privacidad de datos y sus respectivos equipos de cada mercado en la región. Siete sesiones cubren las principales áreas de los requisitos del RGPD y están diseñadas para profundizar la comprensión de los requisitos del RGPD a un nivel fundamental. El programa también ayuda a los equipos a incorporar efectivamente estos principios en sus operaciones diarias.
¿Cuál es el objetivo final del cumplimiento de la privacidad de datos dentro del marco de Inchcape?
En última instancia, nuestro objetivo es crear un marco de privacidad de datos resiliente que cumpla con los requisitos regulatorios y supere las expectativas de nuestros inversionistas. Queremos que estén seguros de que sus datos, sin importar de qué se trate, son manejados con el máximo cuidado y respeto por todos dentro de la organización y nuestros socios externos.
Un gran agradecimiento a Elena por explicarnos con tanta claridad un tema tan complejo e importante. Publicaremos más entrevistas con expertos de Inchcape próximamente sobre una amplia gama de temas fascinantes, así que sigue revisando nuestras últimas publicaciones en el blog.