La revisión de la privacidad, pintada con un pincel ancho, dejó áreas grises cuando se trata de datos recopilados a través de líneas directas de denuncia de irregularidades, que a menudo canalizan acusaciones altamente sensibles del personal corporativo a la administración, dicen expertos en privacidad y cumplimiento y operadores de líneas directas.
Antilavadodedinero / FCPA
«Es un conjunto de sanciones mucho más pronunciadas asociadas con equivocarse», dijo Hilary Wandall, ex directora de privacidad de datos de Merck & Co., quien ahora es la jefa de gobierno de datos de TrustArc, una compañía de tecnología de privacidad. Las multas pueden alcanzar el 4% de los ingresos anuales de una empresa por ciertas infracciones.
El Reglamento general de protección de datos entró en vigencia el viernes, estableciendo o endureciendo una serie de requisitos para las empresas, como minimizar la información que recopilan sobre las personas. Las personas obtuvieron derechos nuevos o ampliados, incluida la capacidad de ver información sobre sí mismos, averiguar su fuente o exigir que se elimine.
Quedan preguntas, que van desde cómo se aplicarán las reglas hasta la denuncia de irregularidades a nivel nacional hasta qué tan altas serán las multas por violaciones y cómo equilibrar los derechos de privacidad de las personas contra la necesidad de las empresas de realizar investigaciones.
«La ambigüedad está ahí», dijo Vera Cherepanova, una consultora de cumplimiento con sede en Milán que escribió un artículo para el Blog de FCPA sobre cómo GDPR afectará el proceso de denuncia de irregularidades. “Para los oficiales de cumplimiento, el problema es que no somos el centro. No somos el concepto clave del GDPR y, básicamente, nadie nos está emitiendo información oficial ”.
Andrea Jelinek, quien encabeza la nueva Junta Europea de Protección de Datos, que incluye a los reguladores nacionales de protección de datos de cada uno de los países miembros de la UE, dijo el jueves que las primeras sanciones son probables dentro de unos meses.
Veintiocho agencias nacionales estarán a cargo de la aplicación. La regulación permite a cada país explicar cómo funcionarán las reglas dentro de sus fronteras en una variedad de frentes. Se espera que los sistemas nacionales sean similares, pero es probable que haya diferencias, lo que deja en claro qué pueden esperar las compañías, dijo John Wilson, director ejecutivo de Expolink, una compañía de servicios de línea directa con sede en el Reino Unido.
Una complicación adicional es que gran parte del manejo de datos cubierto por GDPR se relaciona con el personal, cuyo tratamiento está sujeto a requisitos nacionales separados, dijo la Sra. Wandall.
Las sanciones que las compañías deben esperar por qué tipos de incumplimiento, y en qué áreas se enfocarán las autoridades nacionales, es otra área de incertidumbre, dijo Shon Ramey, asesor general de Navex Global Inc., una compañía de software de cumplimiento que opera líneas directas de denuncias para empresas. Las empresas que procesan datos personales sin consentimiento podrían recibir una multa de hasta el 4% de los ingresos anuales, o € 20 millones ($ 23,3 millones), lo que sea mayor, pero las agencias nacionales de protección de datos también pueden simplemente reprender a una empresa por infracciones menores.
Las empresas estarán atentas a las primeras acciones de ejecución para ver qué tan en serio cada regulador nacional toma diferentes casos de incumplimiento, dijo Ramey.
Los conflictos entre los derechos de privacidad de las personas y las necesidades de las empresas que intentan abordar las irregularidades son otro desafío. Un ejemplo, dijo el Sr. Wilson, sería cómo manejar a una persona que fue objeto de repetidas acusaciones de irregularidades en el trabajo.
Si una denuncia planteada por un denunciante sobre una persona resultó ser infundada, el sujeto de la reclamación podría solicitar que su empleador elimine su registro del caso. sobre la base de que la empresa ya no necesita mantener esos datos. Según GDPR, el empleador probablemente tendría que cumplir, dijo.
No está claro qué sucedería si se presentaran más acusaciones sin fundamento. Un patrón de acusaciones, incluso si no está probado, sería una señal de alerta en muchos departamentos de cumplimiento, dijo Wilson.
«Creemos que con el clima actual, con el clima #MeToo y demás, que en realidad para una empresa mantener datos en esas circunstancias puede ser razonable, pero por supuesto no lo sabemos porque la legislación es silenciosa sobre eso ”, dijo el Sr. Wilson.
Las compañías pueden manejar los datos de un individuo incluso sin su consentimiento para cumplir con una obligación legal, en interés público o en la búsqueda de sus propios «intereses legítimos», entre otros casos, dice la regulación.
«Es deliberadamente muy vago», dijo el Sr. Ramey de Navex Global.