Juan García Morgado
Research Manager, IDC
El propósito principal de la Unión Europea es facilitar las transacciones comerciales entre sus estados miembros. La eliminación de las barreras entre sus miembros es, por tanto, su razón de ser. Específicamente para el mundo «online», el objetivo es la creación de un único mercado digital, donde se asegure el libre movimiento de bienes, personas y servicios. La premisa es que un Mercado Único Digital solidifique la posición de Europa como un líder económico y permita que su economía crezca.
Existen seis áreas de principal interés en el Mercado Único Digital que tienen impacto directo en la seguridad y privacidad:
- Protección de datos
- Seguridad (física y digital) de los servicios esenciales y servicios digitales.
- Telecomunicaciones (relacionado con la privacidad de las comunicaciones)
- Confianza e identidad electrónicas.
- Protección de la propiedad intelectual.
- Acceso a contenidos y servicios en línea.
Algunas de estas áreas están siendo encarnadas en iniciativas que tienen un impacto importante en la provisión de recursos de seguridad para todas las organizaciones, mientras otras son específicas en ciertas industrias o tienen un impacto específico en algún tema de seguridad. No obstante, como conjunto colectivo, todas muestran la importancia de comprender el panorama regulatorio en la Unión Europea: esto tiene importancia para aquellos proveedores que vendan tanto dentro como hacia la UE, puesto que la Unión tiene una clara influencia en otros regímenes regulatorios por todo el mundo.
El Reglamento General de Protección de Datos europea (GDPR, General Data Protection Regulation, en inglés) 2016/19 representa un cambio fundamental en el que la Unión Europea gobierna los datos personales y la privacidad. La razón fundamental de ser de GDPR se basa en dos objetivos principales:
- El primero es proporcionar una ley actualizada de protección de datos para reflejar los nuevos valores y comportamientos en la Sociedad, incluyendo el uso de redes sociales y otros servicios en la Red. La legislación europea existente, la Directiva de Protección de Datos de 1995, fue promulgada antes de la existencia de cualquier modelo de negocio en línea actual y mucho antes del lanzamiento de servicios en la Nube y redes sociales.
- La segunda razón para introducir GDPR es que la Directiva de Protección de Datos es sólo eso, una directiva, que es implementada en cada uno de los estados miembros de forma diferente. Aunque los principios de la protección de datos son consistentes, cada estado miembro ha implementado la directiva de acuerdo con su propias culturas, necesidades y preferencias. Mientras esto proporciona a los estados miembros una autonomía, el régimen de protección de datos se ha fragmentado, lo que sus consecuencias son la inhibición de las transacciones comerciales entre sus estados miembro, actuando de freno al gran proyecto de la Unión Europea: un único mercado digital. GDPR armoniza la protección de las distintas implementaciones, a grosso modo, en una única ley.
El Reglamento GDPR consigue ambos objetivos – modernización y armonización – pero muchos de los requisitos son más estrictos que los de las leyes que reemplaza. Especialmente las multas por no cumplimiento son especialmente severas («efectivas, proporcionadas y disuasorias», según el texto de la Ley). Además, según la Unión Europea, sus ciudadanos tienen el derecho de saber si sus datos son tratados de forma correcta, si han sido perdidos, robados o si ha existido alguna brecha de seguridad que ha puesto en riesgo su integridad o confidencialidad.
Dada la variación cultural en las aproximaciones a la protección de datos entre los estados miembros la GDPR ha tenido un camino con muchas controversias dentro del proceso legislativo: ha tardado cuatro años en conseguir un consenso. La nueva regulación se publicó en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, entró en vigor el 25 de mayo del mismo año y será de obligatorio cumplimiento para todos los estados miembros a partir del día 25 de mayo de 2018.
Aunque el objetivo de GDPR es unir toda la legislación sobre datos personales en la Unión Europea, los estados miembros pueden modificar o ampliarla en un número de áreas. De hecho, hay más de 50 derogaciones: aunque no todas se usarán, las empresas y sus proveedores deben estar al tanto de que existen dichos cambios para poder planificarlos apropiadamente.
Uno de los objetivos menos discutidos de GDPR es facilitar la libre circulación de datos personales dentro de la UE. Aunque parezca contrario al sentido común, la capacidad para intercambiar datos entre los Estados miembros es un principio fundamental del régimen de protección de datos entrantes. El objetivo de este flujo libre es apoyar a uno de los objetivos fundamentales de la UE, que debe facilitar el ejercicio de actividades económicas en la UE.
La Unión Europea pretende ampliar este libre flujo de datos para datos no personales. Hay, según la UE, más de 70 casos de restricciones de este tipo de datos dentro de los estados miembros. La Unión Europea no quiere que estas restricciones dañen el mercado único, que limiten el flujo transfronterizo de datos y el uso de tecnologías de datos transfronterizos y servicios (tales como el Big Data, la Nube e Internet de las Cosas). Muchas de estas restricciones se aplican a sectores específicos, como salud, finanzas y sector público, pero otras restricciones generales se aplican a muchos otros tipos de negocios. Un caso específico sería aquellos datos no personales generados por sensores de IoT (Internet de las Cosas).
La preocupación es que estas restricciones de ubicación de datos distorsionen el mercado único mediante un bloqueo contractual exclusivo para empresas miembro de ciertos estados, costes más altos de almacenamiento o incremento de los costes legales.
La Unión Europea está decidiendo actualmente su aproximación a cómo legislar el flujo libre de datos no personales. IDC cree que la aproximación más probable será el tener alguna regulación o directiva, pero la UE deberá decir los siguientes pasos.