GDPR. Qué es, a quién afecta y cómo se soluciona con MDM

En mayo de 2018, las empresas que realicen algún tipo de tratamiento de datos personales de ciudadanos de la Unión Europea, van a tener que cumplir con nuevos requisitos legales. Los cambios necesarios para que estas empresas cumplan con el nuevo Reglamento General de Protección de Datos (GDPR) pueden no ser sencillos de implementar.

¿Qué es el GDPR?

GDPR son las siglas de General Data Protection Regulation. Desde los años 90 existen leyes de privacidad de la información a nivel nacional basadas en la Directiva 95/46/CE (Directiva sobre protección de datos) y completada después por la Directiva 2002/58/CE (Directiva sobre privacidad en las comunicaciones electrónicas).

Sin embargo, la tecnología ha evolucionado rápidamente así como los comportamientos individuales y de las empresas, y en consecuencia, está directiva ha quedado obsoleta y necesita ser sustituida ahora por el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679). Esta nueva regulación va a cambiar completamente las bases de cómo las organizaciones pueden gestionar los datos personales de los ciudadanos de la UE y esto va a tener consecuencias importantes para las organizaciones afectadas.

GDPR fue adoptada el 27 de abril de 2016 y entrará en vigor el 25 de mayo de 2018, dando a las organizaciones un período de transición de dos años.

¿A quién afectará?

GDPR afectará a cualquier empresa que recoja y utilice datos de ciudadanos europeos, independientemente de si dicha organización está establecida en la Unión Europea o no, o si la propia transformación tiene lugar dentro o fuera de la Unión Europea.

Como sustituto de la actual directiva de privacidad de datos, GDPR ha ampliado el alcance de la privacidad para cubrir los datos que se almacenan cuando una organización o persona se encuentra en la Unión Europea, así como para organizaciones que están fuera de la Unión Europea pero procesan datos ciudadanos europeos. La definición de datos personales ahora cubre una serie de áreas, incluyendo los datos personales habituales, así como posibles elementos como fotografías y contenido de medios sociales. Encontramos además nuevos desafíos acerca del derecho de los ciudadanos de que sea olvidado y la capacidad para que los ciudadanos exijan acceso a sus datos. Esto hará que todas las organizaciones que manejan muchos datos personales, como por ejemplo las de servicios financieros, miren muy cuidadosamente sus políticas relacionadas con los datos que mantienen de sus clientes.

Ahora también se necesitarán nuevos elementos, como la necesidad de consentimiento explícito para la recopilación de datos y su uso, y se aplicarán severas sanciones en caso de incumplimiento de los datos. La multa máxima será ahora de 20 millones de euros o del 4% de los ingresos anuales mundiales (aquello que sea mayor). Para la mayoría de las organizaciones se trata de una cantidad muy significativa de dinero.

Desafíos de la privacidad de los datos

A medida que el impacto de la nueva regulación de la privacidad comience a ser evaluado, vamos a encontrar importantes desafíos que en muchos casos puede que no sean fáciles de resolver sin la ayuda de herramientas. Por ejemplo:

• Cómo podremos localizar todos los datos de clientes que tenemos en nuestros sistemas.

• Cómo dar solución a clientes que hacen solicitudes para ver los datos que una organización tiene en su poder.

• Qué hacer cuando se identifican los datos del cliente.

• Promulgar el derecho al olvido.

Solución a GDPR mediante MDM

Una de las soluciones fundamentales para la mayoría de los programas Customer Centricity o Customer 360 son las soluciones de gestión de datos maestros (también conocido como MDM) de toda la empresa.

Como parte del proceso de masterización, los datos se recogen por toda la empresa y se les aplica una serie de técnicas para localizar y combinar datos relacionados con el mismo cliente. Este enfoque se basa en ese proceso de masterización para entender si los registros de datos en diferentes sistemas están relacionados con el mismo cliente o no. En este proceso se recopilan datos sobre el mismo cliente y se almacenan en un repositorio para su uso posterior.

Con un MDM, las organizaciones ahora tienen la capacidad de identificar con precisión los registros relacionados con un mismo cliente. Si ese cliente invoca el derecho a ser olvidado, entonces surgen dos posibilidades:

1. Si el proceso de masterización se basa en un estilo MDM analítico, se pueden ejecutar informes que enumeran todos los datos relevantes del cliente. Este informe se puede enviar a aquellos grupos de la empresa que sean relevantes para que puedan borrar manualmente los registros del cliente de los sistemas apropiados. Las actualizaciones de los datos maestros del cliente mostrarán si se han eliminado todos los registros y, de no ser así, se puede llevar a cabo una acción de seguimiento.
2. Si el proceso de masterización se basa en un estilo de MDM operativo, los datos del cliente masterizados se marcaron para borrado y la mediante las herramientas adecuadas se pueden aplicar las eliminaciones de forma automática.

Se trata de un enfoque basado en la masterización de todos los datos de clientes de toda la empresa.