SlideShare una empresa de Scribd logo

GDPR: orgullo y prejuicio en protección de datos.

P
Pedro Cervera

El documento describe los cambios que traerá la nueva regulación de protección de datos de la UE (GDPR) que entra en vigor en mayo de 2018. Introducirá nuevas figuras como el Delegado de Protección de Datos y el Encargado de Tratamiento, y principios como "privacidad por defecto" que requerirán una transformación de los procesos internos de las empresas. A medio plazo, es probable que surjan desafíos en la aplicación práctica de la norma y evolucione la supervisión de los reguladores, basada cada

Derecho
1 de 4
Descargar para leer sin conexión
www.tecnicacontableyfinanciera.es 143 E s una verdad mundialmente re- conocida que un regulador con visión ambiciosa de su propio campo de acción, y poseedor de grandes medios humanos y económicos, necesita una realidad que configurar. El uni- verso europeo de la protección de datos es un ejemplo claro. Es cierto que también ha sido así hasta aho- ra en España, cuyo marco de protección de datos ha marcado niveles de exigencia his- tóricos, aunque también se ha demostrado un notable sentido común por parte de la AEPD. Nace ahora este marco en Europa de la mano de una legislación de protección apli- cable directamente (un reglamento de la UE) que cambia el paradigma hacia la exigencia de madurez, proactividad y finalidad y se aleja de las regulaciones muy precisas y adminis- trativas. Las claves principales son la pregunta «para qué me pides y guardas mis datos» y la exigencia desde la propia norma de cierto ni- vel de responsabilidad real del regulado.Ya no se trata de la perspectiva latina típica de cum- plimiento sino de la sajona de seguimiento de un imperativo categórico: «haz lo tengas que hacer, pero debe quedar comprendido en estos principios generales». Ello suele ir seguido de una advertencia clara que puede resumirse en «asume las consecuencias». La noción de accountability, que hasta hace poco Orgullo y prejuicio en protección de datos
GESTIÓN DE EMPRESA :: Pedro Cervera :: :: número 7 ::Abril 2O18 :: 144 no era un término con traducción directa en nuestro idioma. No voy a insistir en claves de cumplimiento de GDPR(1) , pues hoy existen muchos pro- veedores de servicios y reguladores que de- sarrollan las claves del citado cumplimiento de forma pormenorizada. La intención de este texto es proponer al lector una proyec- ción futura de la realidad que nace en mayo de 2018 y que se prolongará a lo largo de al menos tres años, fecha en la que se de- sarrollará previsiblemente una segunda onda regulatoria. Aunque es cierto que las ondas regulatorias en la UE tienden a cubrir más plazo derivadas de la renovación de Comi- sión y Parlamento. En esta ocasión la tecno- logía exigirá la adecuación de la norma en un plazo más corto pues la norma,más allá de su espíritu, encontrará pronto nuevos desafíos de aplicación práctica. La protección de datos personales es la pie- dra angular de una realidad económica ba- sada precisamente en la explotación incon- trolada de los mismos. Cabría pensar en la gratuidad, libertad y ausencia de control que han beneficiado la creación de modelos de negocio que podrían haber sido dudosos dado un marco regulatorio más exigente. Como ejemplo sencillo, podemos recordar la OPV de Facebook y qué habría pasado (1)  El 25 de mayo de 2016 entró en vigor el Reglamen- to (UE) 2016/679 del Parlamento Europeo y del Con- sejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta alTratamiento de Datos Personales y a la Libre Circulación de estos Datos y por el que se deroga la Directiva 95/46/CE (“GDPR”). Su aplicación comienza el 25 de mayo de 2018. ahora con esa operación en mercado con GDPR de fondo en Europa. Son los gigantes tecnológicos los que han monetizado datos de clientes sin compensación alguna hacia él y los que vieron desde inicio que la extrac- ción de materia prima se realizaba de manera sencilla, ofreciendo bagatelas a cambio, como una cuenta de email o un catálogo de emojis. Son también los gigantes o sus imitadores los que ven como su escenario de mercado y rentabilidad cuenta con caveats importantes. Mi apuesta es que cualquier inversor de com- pañías cuya actividad de explotación de datos cuenta con Europa como mercado relevante se lo pensará algo mejor y recortará valora- ciones. Esto es, o compra barato o se va a Latam o Asia al mismo negocio. La evolución de esta norma, que además será aplicada por supervisores nacionales especia- lizados, es bastante impredecible, pasado el primer período de cumplimiento estricto. Y lo es porque el escenario, basado en uti- lidades de inteligencia artificial, un mercado competitivo utilizando datos como interés principal, activismos sociales especializados, litigation funds interesados en el tema y visión multinacional de los grandes jugadores hará de esta nueva realidad una amalgama de na- turaleza volátil. ¿Hacia dónde irán los cambios en ese medio plazo? GDPR implica una reforma operativa total dentro de la cadena de valor del tratamiento, colección, conservación y uso de los datos personales. Ello implica transformar procesos centrales y actividades core en la empresa. Marketing, relación con cliente, alianzas con terceros, etc. cambian para siempre. Las primeras evoluciones las veremos en el seno de la organización y en su relación con colaboradores. El nacimiento de la figura del DPO como puesto interno, responsable, con ascendiente interno y visibilidad externa es muy relevante. Hasta ahora,salvo el administrador o director general, sólo un auditor interno (por ejemplo, latecnología exigirá la adecuación de la norma en un plazo más corto pues la norma, más allá de su espíritu, encontrará pronto nuevos desafíos de aplicación práctica
Orgullo y prejuicio en protección de datos www.tecnicacontableyfinanciera.es 145 en banca y en farmacia) era relevante a los ojos de terceros. Así el data protection offi- cer o delegado de protección de datos es un puesto que se halla, con el corazón par- tido, entre la comprensión de las debilidades de la organización y la exigencia de mejora. Entre la denuncia de la realidad y la explica- ción. Es un agente interno de cambio, alguien que tutela a la organización joven para que crezca, madure y depure su comportamiento. Además es quien recibe quejas de clientes y de supervisor. Es un rol esquizofrénico y muy exigente.Será un rol aburrido y gris en 2 años pero eso puede ser mucho tiempo. Nuestra apuesta es por perfiles altos con preparación adecuada, impulsores de cambio y muy sacri- ficados que serán sustituidos por el biotipo habitual del relevo.Tras inmolaciones de dos años duros, de amenaza de sanciones y anar- quía en la organización,o al menos resistencia pasiva e infantil, se impondrán departamen- tos muy bien dotados, apoyados en herra- mientas y tendentes al reporting y la alerta. Hoy es, por tanto, una posición incómoda y es un personaje incómodo. En el corto plazo no hay valor que capturar, en el medio plazo una gran posición. Otra de las relaciones imposibles que nace al albur de la norma es la del encargado de datos o de tratamiento de datos. La relación entre responsable y encargado el anómala por su difusa relación de responsabilidades y dará lugar a no pocas polémicas, demandas y desenlaces inesperados. Si bien ya existen hoy acuerdos en los que el tratamiento de datos es clave en la vertebración de un ser- vicio o relación mercantil, es la primera vez que la norma da nombre o título a un actor secundario en la cadena de valor del dato. No lo vemos sostenible en el medio plazo. La figura del encargado es anómala si se me permite. Supone concretar responsabilidades y ellas deberán quedar reflejadas convenien- temente en un contrato y su prima de riesgo quedará incorporada al precio del servicio. Fin de la protocolaria relación. En el medio plazo diversos arbitrajes y algunas demandas situará un claro régimen de responsabilidades y ello derivará en una figura que, relacionán- dose ex aequo con el responsable, responde por lo mismo aunque en un paso posterior de la cadena de valor. La posición de encar- gado se percibe como poco práctica y arries- gada. Todo ello se reflejará en un aumento de precio por la prima de riesgo que implica la ejecución de determinadas funciones o tareas. Nuestro consejo es aceptar el rol si nuestra empresa desarrolla servicios relacio- nados (tratamos nóminas, realizamos marke- ting directo, prestamos servicios de contact center) pero vertebrar jurídicamente su po- sición comenzando por examinar claramen- te la cadena de valor del dato y el grado de calidad de la provisión del mismo por parte de la empresa cliente final. Una vez hecho esto debemos prever el posible conflicto y partir del mismo para poner precio a nuestro servicio.Un precio que debe incluir los costes de defensa ante relaciones conflictivas en las que el responsable de datos repetirá contra el encargado. Las demandas abundarán en este campo. Más cambios y evoluciones. Cabe considerar los conceptos de privacy by default y by design como bellas imágenes conceptuales pero son en realidad verdaderos fundamentos de la norma. Nacido el segundo de la normativa holandesa de 1995 que pretendía incorporar principio de diseño técnico basado en valo- res, no deja de ser un valor, una unidad de medida, sobre el que debería desarrollarse el diseño de un proceso o un software, como son hoy conceptos de usabilidad o de lean manufacturing. No tiene mayores consecuen- cias que ser un paradigma a observar en la creación de nuevos tratamientos de datos. El nacimiento de la figura del DPO como puesto interno, responsable, con ascendiente internoy visibilidad externa es muy relevante
GESTIÓN DE EMPRESA :: Pedro Cervera :: :: número 7 ::Abril 2O18 :: 146 Será, a medio plazo, simplemente una obvie- dad y a la vez una condición sine qua non. No pasa lo mismo con el principio de privacy by default. Su visión es práctica y determinante y supone un giro de 180 grados. Según el mismo sólo los datos que son estric- tamente necesarios para un propósito especí- fico deben ser procesados o, dicho de forma más precisa, deben ser objeto de ese trata- miento. Así un proceso interno de perfilado, de CRM, de seguimiento de clientes, de inteli- gencia de producto no debería verse benefi- ciado por un tratamiento laxo de masa de da- tos. Debe ser preciso y económico en medios. Debe ser certero y responder a la pregunta de si realmente es necesario el tratamiento de determinados datos, para qué y por qué. Este cambio es esencial y determinará mu- chos pocos ajustes internos en procesos que deberán ser rediseñados. La captura o provi- sión de datos deberá tener una finalidad. En la práctica,en el medio plazo,no será relevan- te porque lo que nazca ex novo ya se confi- gurará así. El esfuerzo es la transformación de los actuales procesos. Nuestra visión es que si una empresa tiene capacidad tecnológica, ello no es relevante. La clave es sin duda la inteligencia de datos y es ahí donde surge el conflicto para determinados campos. Faltan data scientist autolimitados y eso es relevan- te porque apenas había nacido la profesión. Sólo organizaciones muy grandes podrán tener departamentos aislados (labs etc) de este mundo tan autorcontrolado. ¿Podríamos estar cuestionando utilidades como el tratamiento de datos desestructura- dos en los relativo a clientes? Sí. Si esos datos son personales y no son públicos podríamos estar hablando que determinados usos masi- vos de datos (data lakes incluidos) o deter- minados modelos poco sofisticados cuyos procesos masivos de árbol de regresiones podrían cuestionarse.Todo ejercicio de toma de datos va dirigido a un fin.Afortunadamen- te, es pronto para según qué revisiones. En el futuro será, no obstante, diferente. Nuestra apuesta es un modelo de reporting exhausti- vo basado en procesos (ya no en templates o modelos de reporting del siglo XX) sofis- ticados en las que los tratamientos deberán informar de los datos usados, además de la raíz del dato, fecha, motivo de captura y de- talle del consentimiento. Es realmente fácil llegar a ese modelo de reporting e inspección con las herramientas de data quality que hay hoy en mercado. El origen de datos (grafos, usos) arroja diagnósticos en segundos. Hoy faltan recursos y quizás la óptica del super- visor es aún generosa, pero no apostaría a una evolución lejana de este modelo. En concreto, podría estar definido en apenas 24 meses. Mi recomendación es prever que las capacidades del supervisor estarán basadas en tecnología muy enfocada a datos y que serán intrusivas. El modelo es el de auditoría de seguridad informática: ataque y resultado real. Ello abre una puerta enorme porque no se está preparado para monitorizar proce- sos en tiempo real en general y menos para trazar a un tercero navegando internamente. La imagen más acertada de qué y cómo se supervisará es la de un nanorobot médico dentro del sistema circulatorio de un cuerpo humano. ¿Cómo anticiparse a todo ello? Es muy fácil decir superficialidades. No querríamos caer en ello. Nuestra apuesta sería la de construir un modelo ex novo. Cómo sería mi empresa si naciese tras la entrada en vigor de GDPR en mayo. Qué haría como crearía la relación con mi primer cliente. Esa es la meta.Todo lo demás son parches en sistemas legacy, nodos de interrupción en procesos que tienen dé- cadas, documentos travestidos y contratos reparados. El cambio es muy grande y lo pa- radójico es que lo hemos venido negando hasta ahora. Más paradójico aún es que cual- quier nuevo jugador en cualquier de nuestros mercados lo tiene mejor. Es que nuestra vida ha cambiado, la vida de nuestra compañías y empresas, tras la apari- ción del reglamento de protección genera de datos (o de protección de datos generales, GDPR) es un hecho que admite poca dis- cusión.

Recomendados

Especial Consultoría de Protección de Datos FENAC
Especial Consultoría de Protección de Datos FENACEspecial Consultoría de Protección de Datos FENAC
Especial Consultoría de Protección de Datos FENAC
Aselcis Consulting, S.L.
 
Retos en la proteccion de datos en colombia
Retos en la proteccion de datos en colombiaRetos en la proteccion de datos en colombia
Retos en la proteccion de datos en colombia
Marrugo Rivera & Asociados
 
Informe gdpr
Informe gdprInforme gdpr
Informe gdpr
Marco Vieto
 
Adapta tu blog al RGPD
Adapta tu blog al RGPDAdapta tu blog al RGPD
Adapta tu blog al RGPD
BlogsterApp Ambassador
 
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
ClubCDOSpain
 
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Privadesa
 
Sic81 quepreocupa
Sic81 quepreocupaSic81 quepreocupa
Sic81 quepreocupa
Presidencia de la República del Ecuador
 
Sic81 quepreocupa
Sic81 quepreocupaSic81 quepreocupa
Sic81 quepreocupa
Presidencia de la República del Ecuador
 

Recomendados

Especial Consultoría de Protección de Datos FENAC
Especial Consultoría de Protección de Datos FENACEspecial Consultoría de Protección de Datos FENAC
Especial Consultoría de Protección de Datos FENAC
Aselcis Consulting, S.L.
 
Retos en la proteccion de datos en colombia
Retos en la proteccion de datos en colombiaRetos en la proteccion de datos en colombia
Retos en la proteccion de datos en colombia
Marrugo Rivera & Asociados
 
Informe gdpr
Informe gdprInforme gdpr
Informe gdpr
Marco Vieto
 
Adapta tu blog al RGPD
Adapta tu blog al RGPDAdapta tu blog al RGPD
Adapta tu blog al RGPD
BlogsterApp Ambassador
 
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
Monetización y Gobierno del Dato: Hacia una Cultura Data Driven en la empresa
ClubCDOSpain
 
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Com beneficiarà la reforma de la protecció de dades a la UE a les empreses eu...
Privadesa
 
Sic81 quepreocupa
Sic81 quepreocupaSic81 quepreocupa
Sic81 quepreocupa
Presidencia de la República del Ecuador
 
Sic81 quepreocupa
Sic81 quepreocupaSic81 quepreocupa
Sic81 quepreocupa
Presidencia de la República del Ecuador
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
Fabián Descalzo
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia
 
Dpo virtual
Dpo virtualDpo virtual
Dpo virtual
SIA Group
 
Protección de Datos y Fisioterapia
Protección de Datos y FisioterapiaProtección de Datos y Fisioterapia
Protección de Datos y Fisioterapia
Javier Luna
 
Conversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDDConversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDD
Conversia
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
Alejandro Corletti Estrada
 
Compliance en Chile
Compliance en ChileCompliance en Chile
Compliance en Chile
Víctor Ossa
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
Jorge A. Gomez P.
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
Edmundo Diego Bonini ஃ
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.
Brox Technology
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Ciberseguros
CibersegurosCiberseguros
Ciberseguros
Miguel Ángel Núñez Aguado
 
Informe final
Informe final Informe final
Informe final
LuisMiguel503
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Nunsys S.L.
 
Curso online lopd
Curso online lopdCurso online lopd
Curso online lopd
Setival SCV
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
Irekia - EJGV
 
Como adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultadesComo adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultades
Conversia
 
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Estudio Jurídico Ejaso ETL Global
 
Datacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas dataDatacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas data
Marrugo Rivera & Asociados
 
207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es
xavazquez
 
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptxJUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
MarioGarcia650827
 
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
silvanaballadares2
 

Más contenido relacionado

Similar a GDPR: orgullo y prejuicio en protección de datos.

El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
Fabián Descalzo
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia
 
Dpo virtual
Dpo virtualDpo virtual
Dpo virtual
SIA Group
 
Protección de Datos y Fisioterapia
Protección de Datos y FisioterapiaProtección de Datos y Fisioterapia
Protección de Datos y Fisioterapia
Javier Luna
 
Conversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDDConversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDD
Conversia
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
Alejandro Corletti Estrada
 
Compliance en Chile
Compliance en ChileCompliance en Chile
Compliance en Chile
Víctor Ossa
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
Jorge A. Gomez P.
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
Edmundo Diego Bonini ஃ
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.
Brox Technology
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Ciberseguros
CibersegurosCiberseguros
Ciberseguros
Miguel Ángel Núñez Aguado
 
Informe final
Informe final Informe final
Informe final
LuisMiguel503
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Nunsys S.L.
 
Curso online lopd
Curso online lopdCurso online lopd
Curso online lopd
Setival SCV
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
Irekia - EJGV
 
Como adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultadesComo adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultades
Conversia
 
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Estudio Jurídico Ejaso ETL Global
 
Datacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas dataDatacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas data
Marrugo Rivera & Asociados
 
207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es
xavazquez
 

Similar a GDPR: orgullo y prejuicio en protección de datos. (20)

El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
 
Dpo virtual
Dpo virtualDpo virtual
Dpo virtual
 
Protección de Datos y Fisioterapia
Protección de Datos y FisioterapiaProtección de Datos y Fisioterapia
Protección de Datos y Fisioterapia
 
Conversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDDConversia – La opinión del experto sobre la nueva LOPDGDD
Conversia – La opinión del experto sobre la nueva LOPDGDD
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
 
Compliance en Chile
Compliance en ChileCompliance en Chile
Compliance en Chile
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.6.3 Seguridad y Privacidad en el Cloud.
6.3 Seguridad y Privacidad en el Cloud.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ciberseguros
CibersegurosCiberseguros
Ciberseguros
 
Informe final
Informe final Informe final
Informe final
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
 
Curso online lopd
Curso online lopdCurso online lopd
Curso online lopd
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
 
Como adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultadesComo adaptarse a la LOPD y sus principales dificultades
Como adaptarse a la LOPD y sus principales dificultades
 
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
Aspectos Legales del nuevo reglamento de Protección de Datos (Mayo 2018)
 
Datacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas dataDatacredito sancionado por violacion del regimen de habeas data
Datacredito sancionado por violacion del regimen de habeas data
 
207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es 207719100-iso-27001-y-las-py m-es
207719100-iso-27001-y-las-py m-es
 

Último

JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptxJUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
MarioGarcia650827
 
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
silvanaballadares2
 
Legal Conducción Estado de Ebriedad. Análisis Lega
Legal Conducción Estado de Ebriedad. Análisis LegaLegal Conducción Estado de Ebriedad. Análisis Lega
Legal Conducción Estado de Ebriedad. Análisis Lega
GerardoGarciaCaro
 
LIBERALISMO COMPLETO E IDEALISMO COMPLETO
LIBERALISMO COMPLETO E IDEALISMO COMPLETOLIBERALISMO COMPLETO E IDEALISMO COMPLETO
LIBERALISMO COMPLETO E IDEALISMO COMPLETO
ebertincuta
 
Triptico de la Comisión Nacional de los Derechos Humanos
Triptico de la Comisión Nacional de los Derechos HumanosTriptico de la Comisión Nacional de los Derechos Humanos
Triptico de la Comisión Nacional de los Derechos Humanos
QuetzalHernndezMartn
 
Esquema teoria del delito- Derecho penal
Esquema teoria del delito- Derecho penalEsquema teoria del delito- Derecho penal
Esquema teoria del delito- Derecho penal
coronelridolfi031
 
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptxANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
LuyIzaguirrePaulAnth
 
Patrimonio del Estado Derecho Administrativo.pptx
Patrimonio del Estado Derecho Administrativo.pptxPatrimonio del Estado Derecho Administrativo.pptx
Patrimonio del Estado Derecho Administrativo.pptx
AlexQuezadaPucheta
 
la prevencion de riesgos em tanatopraxia
la prevencion de riesgos em tanatopraxiala prevencion de riesgos em tanatopraxia
la prevencion de riesgos em tanatopraxia
CentroEspecializacio
 
INVESTIGACION DE LA ESCENA DE MUERTE.pptx
INVESTIGACION DE LA ESCENA DE MUERTE.pptxINVESTIGACION DE LA ESCENA DE MUERTE.pptx
INVESTIGACION DE LA ESCENA DE MUERTE.pptx
AlejandroOlivera26
 
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDADDEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
RAFFO OLAGUIBEL SANTOLALLA
 
Tipo penal según su estructura Universidad del Atlantico
Tipo penal según su estructura Universidad del AtlanticoTipo penal según su estructura Universidad del Atlantico
Tipo penal según su estructura Universidad del Atlantico
MariaGranados40
 
La victimizacion de las mujeres en mexico
La victimizacion de las mujeres en mexicoLa victimizacion de las mujeres en mexico
La victimizacion de las mujeres en mexico
ngelLpez74
 
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
edwin70
 
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El SalvadorTarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
edwin70
 
exposicion taller de argumentacion juridica y oratoria
exposicion taller de argumentacion juridica y oratoriaexposicion taller de argumentacion juridica y oratoria
exposicion taller de argumentacion juridica y oratoria
LaLuz4
 
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL IIIMEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
ALEJANDRABERTHAVALER
 
2. Simulacion de acto jurídico en la normativa peruana
2. Simulacion de acto jurídico en la normativa peruana2. Simulacion de acto jurídico en la normativa peruana
2. Simulacion de acto jurídico en la normativa peruana
silvanaballadares2
 
Ley de amnistía en el BOE, con lo que entra en vigor
Ley de amnistía en el BOE, con lo que entra en vigorLey de amnistía en el BOE, con lo que entra en vigor
Ley de amnistía en el BOE, con lo que entra en vigor
20minutos
 
Protección patrimonial. Personas con discapacidad..pdf
Protección patrimonial. Personas con discapacidad..pdfProtección patrimonial. Personas con discapacidad..pdf
Protección patrimonial. Personas con discapacidad..pdf
José María
 

Último (20)

JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptxJUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
JUICIO ESPECIAL HIPOTECARIO ETAPAS .pptx
 
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
7. LA CONFIRMACION ACTO JURIDICO EN EL ESTADO PERUANO
 
Legal Conducción Estado de Ebriedad. Análisis Lega
Legal Conducción Estado de Ebriedad. Análisis LegaLegal Conducción Estado de Ebriedad. Análisis Lega
Legal Conducción Estado de Ebriedad. Análisis Lega
 
LIBERALISMO COMPLETO E IDEALISMO COMPLETO
LIBERALISMO COMPLETO E IDEALISMO COMPLETOLIBERALISMO COMPLETO E IDEALISMO COMPLETO
LIBERALISMO COMPLETO E IDEALISMO COMPLETO
 
Triptico de la Comisión Nacional de los Derechos Humanos
Triptico de la Comisión Nacional de los Derechos HumanosTriptico de la Comisión Nacional de los Derechos Humanos
Triptico de la Comisión Nacional de los Derechos Humanos
 
Esquema teoria del delito- Derecho penal
Esquema teoria del delito- Derecho penalEsquema teoria del delito- Derecho penal
Esquema teoria del delito- Derecho penal
 
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptxANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
ANOTACIONES PREVENTIVAS _compressed (1) (1)_compressed.pptx
 
Patrimonio del Estado Derecho Administrativo.pptx
Patrimonio del Estado Derecho Administrativo.pptxPatrimonio del Estado Derecho Administrativo.pptx
Patrimonio del Estado Derecho Administrativo.pptx
 
la prevencion de riesgos em tanatopraxia
la prevencion de riesgos em tanatopraxiala prevencion de riesgos em tanatopraxia
la prevencion de riesgos em tanatopraxia
 
INVESTIGACION DE LA ESCENA DE MUERTE.pptx
INVESTIGACION DE LA ESCENA DE MUERTE.pptxINVESTIGACION DE LA ESCENA DE MUERTE.pptx
INVESTIGACION DE LA ESCENA DE MUERTE.pptx
 
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDADDEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
DEMANDA DE AUTORIZACION VIAJE DE MENOR DE EDAD
 
Tipo penal según su estructura Universidad del Atlantico
Tipo penal según su estructura Universidad del AtlanticoTipo penal según su estructura Universidad del Atlantico
Tipo penal según su estructura Universidad del Atlantico
 
La victimizacion de las mujeres en mexico
La victimizacion de las mujeres en mexicoLa victimizacion de las mujeres en mexico
La victimizacion de las mujeres en mexico
 
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
Esta tarea de derecho constitucional I fue diseñada para los estudiantes de l...
 
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El SalvadorTarea de derecho laboral para estudiantes de la univeridad de El Salvador
Tarea de derecho laboral para estudiantes de la univeridad de El Salvador
 
exposicion taller de argumentacion juridica y oratoria
exposicion taller de argumentacion juridica y oratoriaexposicion taller de argumentacion juridica y oratoria
exposicion taller de argumentacion juridica y oratoria
 
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL IIIMEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
MEDIDAS CAUTELARES DERECHO PROCESAL CIVIL III
 
2. Simulacion de acto jurídico en la normativa peruana
2. Simulacion de acto jurídico en la normativa peruana2. Simulacion de acto jurídico en la normativa peruana
2. Simulacion de acto jurídico en la normativa peruana
 
Ley de amnistía en el BOE, con lo que entra en vigor
Ley de amnistía en el BOE, con lo que entra en vigorLey de amnistía en el BOE, con lo que entra en vigor
Ley de amnistía en el BOE, con lo que entra en vigor
 
Protección patrimonial. Personas con discapacidad..pdf
Protección patrimonial. Personas con discapacidad..pdfProtección patrimonial. Personas con discapacidad..pdf
Protección patrimonial. Personas con discapacidad..pdf
 

GDPR: orgullo y prejuicio en protección de datos.

  • 1. www.tecnicacontableyfinanciera.es 143 E s una verdad mundialmente re- conocida que un regulador con visión ambiciosa de su propio campo de acción, y poseedor de grandes medios humanos y económicos, necesita una realidad que configurar. El uni- verso europeo de la protección de datos es un ejemplo claro. Es cierto que también ha sido así hasta aho- ra en España, cuyo marco de protección de datos ha marcado niveles de exigencia his- tóricos, aunque también se ha demostrado un notable sentido común por parte de la AEPD. Nace ahora este marco en Europa de la mano de una legislación de protección apli- cable directamente (un reglamento de la UE) que cambia el paradigma hacia la exigencia de madurez, proactividad y finalidad y se aleja de las regulaciones muy precisas y adminis- trativas. Las claves principales son la pregunta «para qué me pides y guardas mis datos» y la exigencia desde la propia norma de cierto ni- vel de responsabilidad real del regulado.Ya no se trata de la perspectiva latina típica de cum- plimiento sino de la sajona de seguimiento de un imperativo categórico: «haz lo tengas que hacer, pero debe quedar comprendido en estos principios generales». Ello suele ir seguido de una advertencia clara que puede resumirse en «asume las consecuencias». La noción de accountability, que hasta hace poco Orgullo y prejuicio en protección de datos
  • 2. GESTIÓN DE EMPRESA :: Pedro Cervera :: :: número 7 ::Abril 2O18 :: 144 no era un término con traducción directa en nuestro idioma. No voy a insistir en claves de cumplimiento de GDPR(1) , pues hoy existen muchos pro- veedores de servicios y reguladores que de- sarrollan las claves del citado cumplimiento de forma pormenorizada. La intención de este texto es proponer al lector una proyec- ción futura de la realidad que nace en mayo de 2018 y que se prolongará a lo largo de al menos tres años, fecha en la que se de- sarrollará previsiblemente una segunda onda regulatoria. Aunque es cierto que las ondas regulatorias en la UE tienden a cubrir más plazo derivadas de la renovación de Comi- sión y Parlamento. En esta ocasión la tecno- logía exigirá la adecuación de la norma en un plazo más corto pues la norma,más allá de su espíritu, encontrará pronto nuevos desafíos de aplicación práctica. La protección de datos personales es la pie- dra angular de una realidad económica ba- sada precisamente en la explotación incon- trolada de los mismos. Cabría pensar en la gratuidad, libertad y ausencia de control que han beneficiado la creación de modelos de negocio que podrían haber sido dudosos dado un marco regulatorio más exigente. Como ejemplo sencillo, podemos recordar la OPV de Facebook y qué habría pasado (1)  El 25 de mayo de 2016 entró en vigor el Reglamen- to (UE) 2016/679 del Parlamento Europeo y del Con- sejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta alTratamiento de Datos Personales y a la Libre Circulación de estos Datos y por el que se deroga la Directiva 95/46/CE (“GDPR”). Su aplicación comienza el 25 de mayo de 2018. ahora con esa operación en mercado con GDPR de fondo en Europa. Son los gigantes tecnológicos los que han monetizado datos de clientes sin compensación alguna hacia él y los que vieron desde inicio que la extrac- ción de materia prima se realizaba de manera sencilla, ofreciendo bagatelas a cambio, como una cuenta de email o un catálogo de emojis. Son también los gigantes o sus imitadores los que ven como su escenario de mercado y rentabilidad cuenta con caveats importantes. Mi apuesta es que cualquier inversor de com- pañías cuya actividad de explotación de datos cuenta con Europa como mercado relevante se lo pensará algo mejor y recortará valora- ciones. Esto es, o compra barato o se va a Latam o Asia al mismo negocio. La evolución de esta norma, que además será aplicada por supervisores nacionales especia- lizados, es bastante impredecible, pasado el primer período de cumplimiento estricto. Y lo es porque el escenario, basado en uti- lidades de inteligencia artificial, un mercado competitivo utilizando datos como interés principal, activismos sociales especializados, litigation funds interesados en el tema y visión multinacional de los grandes jugadores hará de esta nueva realidad una amalgama de na- turaleza volátil. ¿Hacia dónde irán los cambios en ese medio plazo? GDPR implica una reforma operativa total dentro de la cadena de valor del tratamiento, colección, conservación y uso de los datos personales. Ello implica transformar procesos centrales y actividades core en la empresa. Marketing, relación con cliente, alianzas con terceros, etc. cambian para siempre. Las primeras evoluciones las veremos en el seno de la organización y en su relación con colaboradores. El nacimiento de la figura del DPO como puesto interno, responsable, con ascendiente interno y visibilidad externa es muy relevante. Hasta ahora,salvo el administrador o director general, sólo un auditor interno (por ejemplo, latecnología exigirá la adecuación de la norma en un plazo más corto pues la norma, más allá de su espíritu, encontrará pronto nuevos desafíos de aplicación práctica
  • 3. Orgullo y prejuicio en protección de datos www.tecnicacontableyfinanciera.es 145 en banca y en farmacia) era relevante a los ojos de terceros. Así el data protection offi- cer o delegado de protección de datos es un puesto que se halla, con el corazón par- tido, entre la comprensión de las debilidades de la organización y la exigencia de mejora. Entre la denuncia de la realidad y la explica- ción. Es un agente interno de cambio, alguien que tutela a la organización joven para que crezca, madure y depure su comportamiento. Además es quien recibe quejas de clientes y de supervisor. Es un rol esquizofrénico y muy exigente.Será un rol aburrido y gris en 2 años pero eso puede ser mucho tiempo. Nuestra apuesta es por perfiles altos con preparación adecuada, impulsores de cambio y muy sacri- ficados que serán sustituidos por el biotipo habitual del relevo.Tras inmolaciones de dos años duros, de amenaza de sanciones y anar- quía en la organización,o al menos resistencia pasiva e infantil, se impondrán departamen- tos muy bien dotados, apoyados en herra- mientas y tendentes al reporting y la alerta. Hoy es, por tanto, una posición incómoda y es un personaje incómodo. En el corto plazo no hay valor que capturar, en el medio plazo una gran posición. Otra de las relaciones imposibles que nace al albur de la norma es la del encargado de datos o de tratamiento de datos. La relación entre responsable y encargado el anómala por su difusa relación de responsabilidades y dará lugar a no pocas polémicas, demandas y desenlaces inesperados. Si bien ya existen hoy acuerdos en los que el tratamiento de datos es clave en la vertebración de un ser- vicio o relación mercantil, es la primera vez que la norma da nombre o título a un actor secundario en la cadena de valor del dato. No lo vemos sostenible en el medio plazo. La figura del encargado es anómala si se me permite. Supone concretar responsabilidades y ellas deberán quedar reflejadas convenien- temente en un contrato y su prima de riesgo quedará incorporada al precio del servicio. Fin de la protocolaria relación. En el medio plazo diversos arbitrajes y algunas demandas situará un claro régimen de responsabilidades y ello derivará en una figura que, relacionán- dose ex aequo con el responsable, responde por lo mismo aunque en un paso posterior de la cadena de valor. La posición de encar- gado se percibe como poco práctica y arries- gada. Todo ello se reflejará en un aumento de precio por la prima de riesgo que implica la ejecución de determinadas funciones o tareas. Nuestro consejo es aceptar el rol si nuestra empresa desarrolla servicios relacio- nados (tratamos nóminas, realizamos marke- ting directo, prestamos servicios de contact center) pero vertebrar jurídicamente su po- sición comenzando por examinar claramen- te la cadena de valor del dato y el grado de calidad de la provisión del mismo por parte de la empresa cliente final. Una vez hecho esto debemos prever el posible conflicto y partir del mismo para poner precio a nuestro servicio.Un precio que debe incluir los costes de defensa ante relaciones conflictivas en las que el responsable de datos repetirá contra el encargado. Las demandas abundarán en este campo. Más cambios y evoluciones. Cabe considerar los conceptos de privacy by default y by design como bellas imágenes conceptuales pero son en realidad verdaderos fundamentos de la norma. Nacido el segundo de la normativa holandesa de 1995 que pretendía incorporar principio de diseño técnico basado en valo- res, no deja de ser un valor, una unidad de medida, sobre el que debería desarrollarse el diseño de un proceso o un software, como son hoy conceptos de usabilidad o de lean manufacturing. No tiene mayores consecuen- cias que ser un paradigma a observar en la creación de nuevos tratamientos de datos. El nacimiento de la figura del DPO como puesto interno, responsable, con ascendiente internoy visibilidad externa es muy relevante
  • 4. GESTIÓN DE EMPRESA :: Pedro Cervera :: :: número 7 ::Abril 2O18 :: 146 Será, a medio plazo, simplemente una obvie- dad y a la vez una condición sine qua non. No pasa lo mismo con el principio de privacy by default. Su visión es práctica y determinante y supone un giro de 180 grados. Según el mismo sólo los datos que son estric- tamente necesarios para un propósito especí- fico deben ser procesados o, dicho de forma más precisa, deben ser objeto de ese trata- miento. Así un proceso interno de perfilado, de CRM, de seguimiento de clientes, de inteli- gencia de producto no debería verse benefi- ciado por un tratamiento laxo de masa de da- tos. Debe ser preciso y económico en medios. Debe ser certero y responder a la pregunta de si realmente es necesario el tratamiento de determinados datos, para qué y por qué. Este cambio es esencial y determinará mu- chos pocos ajustes internos en procesos que deberán ser rediseñados. La captura o provi- sión de datos deberá tener una finalidad. En la práctica,en el medio plazo,no será relevan- te porque lo que nazca ex novo ya se confi- gurará así. El esfuerzo es la transformación de los actuales procesos. Nuestra visión es que si una empresa tiene capacidad tecnológica, ello no es relevante. La clave es sin duda la inteligencia de datos y es ahí donde surge el conflicto para determinados campos. Faltan data scientist autolimitados y eso es relevan- te porque apenas había nacido la profesión. Sólo organizaciones muy grandes podrán tener departamentos aislados (labs etc) de este mundo tan autorcontrolado. ¿Podríamos estar cuestionando utilidades como el tratamiento de datos desestructura- dos en los relativo a clientes? Sí. Si esos datos son personales y no son públicos podríamos estar hablando que determinados usos masi- vos de datos (data lakes incluidos) o deter- minados modelos poco sofisticados cuyos procesos masivos de árbol de regresiones podrían cuestionarse.Todo ejercicio de toma de datos va dirigido a un fin.Afortunadamen- te, es pronto para según qué revisiones. En el futuro será, no obstante, diferente. Nuestra apuesta es un modelo de reporting exhausti- vo basado en procesos (ya no en templates o modelos de reporting del siglo XX) sofis- ticados en las que los tratamientos deberán informar de los datos usados, además de la raíz del dato, fecha, motivo de captura y de- talle del consentimiento. Es realmente fácil llegar a ese modelo de reporting e inspección con las herramientas de data quality que hay hoy en mercado. El origen de datos (grafos, usos) arroja diagnósticos en segundos. Hoy faltan recursos y quizás la óptica del super- visor es aún generosa, pero no apostaría a una evolución lejana de este modelo. En concreto, podría estar definido en apenas 24 meses. Mi recomendación es prever que las capacidades del supervisor estarán basadas en tecnología muy enfocada a datos y que serán intrusivas. El modelo es el de auditoría de seguridad informática: ataque y resultado real. Ello abre una puerta enorme porque no se está preparado para monitorizar proce- sos en tiempo real en general y menos para trazar a un tercero navegando internamente. La imagen más acertada de qué y cómo se supervisará es la de un nanorobot médico dentro del sistema circulatorio de un cuerpo humano. ¿Cómo anticiparse a todo ello? Es muy fácil decir superficialidades. No querríamos caer en ello. Nuestra apuesta sería la de construir un modelo ex novo. Cómo sería mi empresa si naciese tras la entrada en vigor de GDPR en mayo. Qué haría como crearía la relación con mi primer cliente. Esa es la meta.Todo lo demás son parches en sistemas legacy, nodos de interrupción en procesos que tienen dé- cadas, documentos travestidos y contratos reparados. El cambio es muy grande y lo pa- radójico es que lo hemos venido negando hasta ahora. Más paradójico aún es que cual- quier nuevo jugador en cualquier de nuestros mercados lo tiene mejor. Es que nuestra vida ha cambiado, la vida de nuestra compañías y empresas, tras la apari- ción del reglamento de protección genera de datos (o de protección de datos generales, GDPR) es un hecho que admite poca dis- cusión.