En 2018, ha comenzado una toma de control hostil europea del mundo empresarial global. ¿No lo ha notado? Si su empresa hace negocios con entidades de la UE o contacta con clientes de la UE, es probable que lo sienta. El nombre en clave dado a la operación de absorción: GDPR, y aparentemente toca todo lo relacionado con la seguridad de la información y el uso de la información personal, pero en la práctica tiene un toque en cada actividad empresarial, ¡en cualquier parte del mundo!
El 25 de mayo de 2018 entró en vigor la directiva europea de protección de datos (su nombre completo es: Reglamento General de Protección de Datos, pero todo el mundo la conoce con las siglas: GDPR), que trajo consigo el cambio más completo en la ley de seguridad de la información en décadas y creó una verdadera revolución en los requisitos para las empresas que recopilan o procesan información personal de las personas. El cambio más significativo introducido por la directiva es la aplicación de una responsabilidad directa y absoluta a las empresas y particulares que recogen o procesan información personal, para mantener la confidencialidad de la información personal que recogen y justificar legalmente su uso.
La directiva adoptó un nuevo concepto de privacidad planificada, además de la privacidad por defecto, y su incumplimiento se expone a fuertes multas que van desde los 20.000 euros hasta el 4% de los beneficios de la empresa. Así, la confidencialidad de la información debe ser totalmente transparente para el cliente y estar planificada de antemano de forma proactiva, incorporada a la tecnología o al proceso de recopilación de información y garantizada automáticamente, sin que el sujeto de la información tenga que tomar ninguna medida adicional por su parte para garantizar la seguridad o confidencialidad de los datos. Además, la transferencia de información sobre ciudadanos de la UE fuera de sus fronteras sólo se permite a un país que haya sido examinado por la UE y que cumpla los criterios. Por otra parte, incluso sin transferir información fuera de la UE, la Directiva se aplica a toda la información relacionada con ciudadanos de la UE o empresas que operan en la UE.
En otras palabras, si su empresa vende productos o recopila información personal de ciudadanos de la UE o llega a un acuerdo con una empresa registrada en la UE según el cual usted está expuesto a datos de dicha empresa, debe cumplir la Directiva. De hecho, aunque su empresa preste servicios y reciba información sólo de ciudadanos israelíes, basta con que uno de ellos tenga también la ciudadanía europea (algo habitual en Israel) para que se le aplique la Directiva.
La mayoría de las empresas israelíes cumplen la legislación israelí sobre privacidad y los reglamentos promulgados en virtud de ella y creen que están a salvo, pero ignoran que la legislación israelí carece de muchos de los elementos de la Directiva europea, como el derecho al olvido, el derecho de una persona a retirar el consentimiento dado para el tratamiento o uso de datos o la obligación de la empresa recopiladora de declarar a sus clientes la razón legal que justifica la recopilación de información en primer lugar. Al mismo tiempo, muchas empresas israelíes se comunican con entidades europeas y recogen datos personales sobre ellas, sin ser conscientes de que el cumplimiento de las normas israelíes no protege contra la violación de la Directiva.
Entonces, ¿qué deben hacer las organizaciones israelíes para cumplir los requisitos de la Directiva? Es aconsejable recurrir a la ayuda de un abogado experto en la materia, para elaborar un plan de aplicación interno, tras una revisión organizativa interna para diagnosticar qué información personal recoge la empresa, qué usos se hacen de ella y qué razones legales justifican su recogida, para determinar si la Directiva es aplicable. Como parte del plan de aplicación interna, deben adoptarse procedimientos internos de seguridad y confidencialidad de la información y una policía de la transparencia, actualizarse las políticas de privacidad y las condiciones de uso, así como modificarse los acuerdos con empleados y subcontratistas con acceso a los datos y adoptarse cualquier otra medida para evitar el incumplimiento de la Directiva.