Tras la aprobación, en diciembre pasado, de la nueva ley de protección de datos de la UE, Compuware considera que algunos de los puntos especificados en la nueva normativa serán de muy difícil cumplimiento por parte de una gran número de empresas durante los dos próximos años, periodo que establece la nueva norma para la adaptación completa de las organizaciones a la nueva legislación.
A grandes rasgos, la nueva ley exige a las empresas tres puntos básicos de obligado cumplimiento: contar con el consentimiento expreso por escrito de los clientes para poder utilizar sus datos personales para fines distintos a la prestación del servicio para el que los proporcionaron, respetar el derecho al olvido y disponer de un diseño de los sistemas de TI pensado en la privacidad. Igualmente, la nueva legislación ha elevado las sanciones ante los incumplimientos, pudiendo llegar las multas hasta el 4% de la facturación del infractor.
Compuware considera que el primero de estos puntos es uno de los más complicados en el entorno de TI, ya que, según la nueva normativa, cuando las organizaciones realizan pruebas de aplicaciones con datos reales de sus clientes, también deberían contar con la aprobación del cliente final. Si los clientes no lo aceptan, la prueba de aplicaciones de software se vería gravemente afectada, más si tenemos en cuenta que en muchas ocasiones serán empresas externas las que se responsabilizarán de estos procesos.
Aún así, según Compuware no hay excusa para aquellas empresas que todavía siguen cediendo datos a colaboradores sin enmascarar previamente. Concretamente, y según Compuware, un 20% de las empresas no enmascara o protege los datos de los clientes antes de compartirlos con empresas subcontratadas, con las que además únicamente suelen firmar acuerdos de confidencialidad que ni siquiera cumplen con la actual legislación.
En lo que se refiere al derecho al olvido, Compuware afirma que para cumplir con esta normativa las empresas deben controlar exactamente en qué lugar de sus sistemas de TI reside cualquier información de identificación personal (PII) de sus clientes. Esto, exige incluir sus propias bases de datos, así como toda la información utilizada por empresas externas subcontratadas, socios o proveedores de servicios cloud. Datos que, según apunta Compuware, podrían encontrarse en muchos casos en empresas de desarrollo de aplicaciones fuera de la UE, lo que constituye un incumplimiento de la nueva normativa.
Según la información que maneja Compuware, muchas empresas no tienen una visión clara de cómo afectará la nueva legislación sobre protección de datos a la prueba de aplicaciones en desarrollo. Por ello, considera muy importante que las empresas comiencen ya a adaptar sus sistemas, tal y como señala el punto que hace referencia al diseño de los sistemas pensando en la intimidad de los datos que demanda la UE.