A principios de este año, la Comisión Europea propuso un paquete de simplificación del GDPR como parte de la iniciativa más amplia Omnibus IV. El objetivo es aliviar la carga de cumplimiento para las llamadas empresas pequeñas y medianas de mediana capitalización.
Según las normas actuales, las empresas con menos de 250 empleados pueden estar exentas de mantener registros detallados de sus actividades de procesamiento de datos, pero solo si dicho procesamiento es ocasional, no involucra categorías especiales de datos y es poco probable que represente un riesgo para los derechos de las personas. En la práctica, esta exención rara vez se puede usar.
Matt Cooper
Director de Gobernanza, Riesgo y Cumplimiento en Vanta.
La nueva propuesta expandiría la exención a empresas con hasta 750 empleados y, al mismo tiempo, relajaría el umbral de riesgo, aplicándolo solo a empresas que realizan procesamiento de datos de “alto riesgo”. Según estimaciones, este cambio significaría que 38,000 pequeñas y medianas empresas en la UE enfrentarían obligaciones simplificadas del GDPR.
Mientras los legisladores de la UE consideran facilitar el cumplimiento del GDPR para las empresas más pequeñas, los detalles de la simplificación propuesta merecen un escrutinio más detallado. Utilizar el número de empleados como criterio para la exención o simplificación es fundamentalmente defectuoso y corre el riesgo de socavar las protecciones vitales que proporciona el GDPR en la era digital.
No solo eso, sino que reducir el umbral de riesgo de “cualquier riesgo” a “alto riesgo” significa que las empresas pueden manejar datos moderadamente riesgosos y aun así estar exentas.
Evaluando la carga actual de cumplimiento
Antes de considerar debilitar el GDPR, vale la pena reflexionar sobre su valor. Introducido hace más de 7 años, el GDPR continúa sirviendo como el estándar global vital para la protección de la privacidad, lo cual es especialmente crítico mantener intacto con la creciente adopción y el riesgo de la IA.
La regulación ha demostrado ser efectiva para salvaguardar los derechos de privacidad en todo el mundo y para ayudar a evitar grandes pérdidas por cibercrimen (hasta 1.400 millones de euros, según la CNIL).
Las intenciones de una simplificación propuesta son positivas. Para muchas pequeñas y medianas empresas, navegar por requisitos regulatorios complejos puede sentirse abrumador, especialmente sin equipos o recursos dedicados al cumplimiento.
De hecho, investigaciones revelan que se dedican 11 semanas laborales al año a tareas de cumplimiento, aumentando una semana año tras año. Esto coincide con los hallazgos del Estudio Global de Cumplimiento de PwC, que indica que un alarmante 85% de las organizaciones afirma que los requisitos de cumplimiento se han vuelto más complejos en los últimos tres años.
Simplificar las obligaciones podría parecer una forma efectiva de fomentar la innovación y reducir las cargas administrativas, pero cualquier cambio en el GDPR debe equilibrar las necesidades de las empresas con el imperativo de proteger la privacidad individual.
Vincular los requisitos de cumplimiento al número de empleados no logra ese equilibrio y tampoco refleja los riesgos reales de privacidad.
Métricas más inteligentes para políticas más inteligentes
En pocas palabras, el número de empleados proporciona una indicación mínima del riesgo real que representan las actividades de procesamiento de datos de una empresa. Las empresas podrían manipular fácilmente su cifra de personal dependiendo de contratistas externos, evadiendo así el escrutinio del GDPR.
Además, en la economía digital actual, equipos pequeños pueden operar plataformas globales que procesan grandes cantidades de información sensible. El creciente impacto de la IA en todas las industrias, permitiendo que equipos más pequeños hagan más y lleguen más lejos, convierte al número de empleados en una métrica aún más obsoleta.
Asumir que una nómina más pequeña significa un menor riesgo de privacidad ignora cómo funcionan muchas empresas modernas y cómo es probable que funcionen en el futuro.
Para crear un marco de cumplimiento más proporcionado y efectivo, los legisladores deben mirar más allá del simple número de empleados. Si bien la propuesta excluye acertadamente a las empresas que realizan procesamiento de alto riesgo de las obligaciones simplificadas, muchos riesgos del mundo real caen entre “bajo” y “alto”, por lo que existe la necesidad de métricas más matizadas y efectivas.
Por ejemplo, el volumen de datos procesados o los ingresos de la empresa. Factores como estos capturan mejor el riesgo real de privacidad y deberían desempeñar un papel más central para determinar cuándo la simplificación es apropiada, sin crear lagunas problemáticas.
La privacidad es una responsabilidad compartida
Las regulaciones de privacidad ciertamente no deberían castigar la innovación, pero tampoco deberían conceder exenciones generales que pongan en peligro los derechos de las personas. En última instancia, las propuestas para debilitar el alcance del GDPR corren el riesgo de erosionar las protecciones de privacidad en un momento en que son más necesarias.
Las tecnologías de IA en rápida evolución tienen el potencial de poner aún más en peligro las protecciones de privacidad, por lo que debemos pensar detenidamente en cualquier cambio que debilite tales defensas. Esto incluye reevaluar no solo quién califica para exenciones según su tamaño, sino también cómo definimos y evaluamos el riesgo en primer lugar.
A medida que los datos se vuelven más vulnerables, proteger la privacidad es cada vez más una responsabilidad compartida. El enfoque debe seguir estando en fortalecer las protecciones y proporcionar apoyo inteligente y proporcionado para empresas de todos los tamaños. El futuro de la privacidad depende de ello.
Listamos los mejores cursos online de ciberseguridad.
Este artículo fue producido como parte del canal Expert Insights de TechRadarPro, donde presentamos a las mejores mentes de la industria tecnológica actual. Las opiniones expresadas aquí son del autor y no necesariamente son las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro