La Unión Europea está trabajando en una legislación más amplia en materia de protección de datos, que reformará y armonizará las leyes de protección de datos en todos los Estados miembro.
Tras 17 años con legislaciones basadas en la Directiva de Protección de Datos adoptada por la Comisión Europea en 1995, Europa prepara un nuevo reglamento, que exigirá, entre otras cosas, a los sitios web que informen a los consumidores en detalle sobre cualquier tipo de seguimiento que se realiza en el sitio, y les obliga a obtener su consentimiento antes de proceder con el seguimiento.
Sobre estas directivas, es normal que cada país incluya cambios y variaciones, por lo que en los 17 años transcurridos las organizaciones europeas o las multinacionales que operan en Europa han tenido que lidiar con diversas leyes de protección destinadas a garantizar la conservación y el tratamiento de la información de los individuos.
La actual Directiva de Protección de Datos se elaboró en los inicios de la popularización de Internet. Sin ir más lejos, Hotmail no existía y no sabíamos lo que era una búsqueda en Google. Esta directiva no anticipó los cambios que venían de la informática concebida como software como servicio (SAAS) o tendencias que hoy están plenamente implantadas como cloud computing, que ‘acaba’ con las barreras geopolíticas. Hoy, la mayoría de las legislaciones de los Estados miembro son pre-nube y se basan en una directiva de 1995.
En enero de este año, la Comisión Europea publicó un primer borrador de un nuevo paquete legislativo destinado a armonizar las leyes tanto de protección de datos en los Estados miembro de la Unión y a hacer frente a la nueva realidad tecnológica. En ese momento, en un comunicado, la Comisión indicaba que “la protección de datos personales es un derecho fundamental para todos los europeos, pero los ciudadanos no siempre se sienten que tienen el control total de sus datos personales. (…) Un fuerte marco jurídico claro y homogéneo a nivel de la UE ayudará a liberar todo el potencial del mercado único digital y a fomentar el crecimiento económico, la innovación y la creación de empleo".
La nueva legislación tendrá un efecto sustancial para aquellas empresas que operan en territorio europeo, pero también para aquellas que, fuera de este territorio, ofrezcan servicios a ciudadanos o empresas europeas.
Impacto en los proveedores de servicios en la nube
Una de las nuevas disposiciones que puedan afectar a las empresas no europeas que intentan hacer negocios en la UE, o a las empresas europeas que quieran utilizar los servicios de proveedores de cloud no europeos, gira en torno a la transferencia de datos a terceros países. Las leyes de protección de datos existentes ya prohíben la transferencia de datos a países no pertenecientes a la UE que no tienen leyes de protección de datos de la misma fuerza que las leyes de la UE o EE.UU., a menos que se adopten medidas concretas para el cumplimiento de la normativa europea.
"Los posibles clientes de la UE de servicios SaaS se enfrentan a importantes obstáculos legales, si desean hacer uso de un software de otra empresa que se ejecuta a través de un navegador web e implica el hosting de los datos de los clientes –incluyendo los personales- fuera de Europa”. Así lo exponen Graham Hann y Sally Annereau, de Taylor Wessing, autores de un White Paper encargado por VMware y Ospero. Entre los principales obstáculos citan normas de seguridad, la supervisión del proceso subcontratado o reglas que restringen la exportación de datos fuera de la UE, por ejemplo.
¿Qué hacer para prepararse?
Los autores de este informe recomiendan que las organizaciones revisen sus políticas y procedimientos para asegurarse de tener un enfoque serio en cuestiones de protección de datos, ya que esta norma europea vendrá acompañada de severas multas por incumplimiento.
Entre otras medidas animan a implantar programas de capacitación rigurosos para el personal que maneja los datos, ejecutar auditorías regulares y evaluar el impacto de la privacidad antes de iniciar cualquier actividad de procesamiento de datos.
En lo que se refiere a la transferencia de datos, recomiendan, dado que las empresas son responsables de los fallos y omisiones de sus proveedores, que tomen medidas como exigir a sus socios tecnología de encriptación y que aseguren por escrito unos elevados niveles de servicio.
Además, la nueva legislación extiende a todas las empresas los requisitos de notificación de brechas de datos, que ya están vigentes para los servicios financieros y de telecomunicaciones, por lo que este tema tiene que estar controlado y las empresas tienen que tener en cuenta si pueden cumplir con esta exigencia.
Finalmente, en caso de que se produzca un incidente de seguridad, las autoridades suelen fijarse en el pre-contrato llevado a cabo con el proveedor, los términos del acuerdo, las medidas de actuación adoptadas, etc., por lo que hay que prestar atención a este tema.