El nuevo Reglamento General de Protección de Datos (RGPD) europeo, aprobado en 2016 y que comenzará a aplicarse a partir del 25 de mayo, obligará a las empresas a ser "proactivas" en lugar de "reactivas" en esta materia e implicará un desafío extra para las pymes. Los datos demuestran que tendrán que ponerse la pilas si quieren lograrlo. Un estudio de la consultora IDC y Microsoft realizado entre un centenar de empresas españolas grandes (con 250 empleados o más) refleja que a finales de 2017 tan solo un 10% consideraba que cumplía con la regulación, a lo que se añade un 25% que aseguró tener "un plan sólido" para llegar al 25 de mayo.
"Los principales obstáculos que está teniendo la gran empresa, y que se aplican a la pyme son los recursos limitados, la ausencia de presupuesto específico para ello y la falta del conocimiento necesario", explica el director de Operaciones y Marketing de Microsoft, Antonio Budia.
Para ello, empresas privadas como Microsoft y Sage han puesto en marcha herramientas de diagnóstico.
Asimismo, instituciones públicas como la Agencia Española de Protección de Datos (AEPD) ha lanzado guías y herramientas como Facilita, y ha celebrado jornadas junto a la patronal Cepyme para dar información a pequeñas y medianas empresas. Quedan poco más de dos meses para que termine el periodo de dos años de adecuación para las empresas a esta nueva normativa, que introduce nuevos derechos para los ciudadanos como la portabilidad de sus datos o el derecho de supresión (el conocido como "derecho al olvido") y obliga a las empresas a recoger un consentimiento activo.
La presidenta de la Asociación Profesional Española de Privacidad (APEP), Cecilia Álvarez, ha apuntado que en las conferencias que pronuncia sobre protección de datos recibe preguntas "tan básicas" que le llevan a pensar que muchas empresas están "al inicio" del proceso de adecuación a la nueva normativa. "Las grandes empresas están más concienciadas, aunque no necesariamente en un nivel de cumplimiento perfecto para el 25 de mayo, pero llegarán en una posición razonable", ha puntualizado Álvarez antes de añadir que la clave para las compañías es tomar la protección de datos como un área de negocio.
El nuevo reglamento supone "un cambio de concepción", según Álvarez, ya que no solo consiste en modificar una cláusula o cumplir con una lista de tareas, sino que puede provocar que la empresa tenga que revisar sus procesos de negocio. De la nueva normativa se derivará también "un nuevo negocio que ha venido para quedarse" ha apuntado Álvarez, el del mercado de servicios de delegados de protección de datos, para los cuales la AEPD ya ha lanzado un esquema de certificación y APEP lleva años formando perfiles para ejercer esta labor en las empresas.
Uno de los encargados de esta formación es el asesor de Cepyme y responsable de Masprivacidad Julio Fernández, quien ha asegurado que en todas las jornadas de divulgación a pymes ha encontrado "auditorios llenos" y empresas "bastante concienciadas", aunque ha reconocido que algunas compañías "no van a llegar" a la fecha señalada.
Entre los aspectos que más preocupan a las pymes se encuentran las sanciones, las medidas de seguridad, los análisis de riesgo y las evaluaciones de impacto; y también la redacción de los consentimientos de uso de datos que se piden a los usuarios.
"Hasta ahora valía el consentimiento tácito, que quiere decir que si el usuario no dice lo contrario se autoriza a ceder los datos, mientras que a partir de ahora será necesario un consentimiento positivo, lo que implica actualizar todos los formularios", ha señalado Fernández. Empresas de servicios financieros y seguros, salud, educación, servicios en Internet o que traten datos para publicidad son las que tendrán que prestar mayor atención al RGPD, que requerirá de un cambio de mentalidad en la protección. "Las empresas tendrán que ser proactivas en lugar de reactivas. Hasta ahora actuamos cuando pasa algo, el reglamento nos conciencia de cuidar la privacidad desde el diseño, que la protección de datos vaya de la mano del diseño", ha afirmado Fernández.
Multas de hasta 20 millones de euros
El RGPD incluye multas por infracciones que pueden llegar a los 20 millones de euros o el 4% del volumen del negocio anual de una empresa; e introduce la figura del delegado de protección de datos (DPD por sus siglas en español, DPO en inglés).
Según una encuesta de la empresa de herramientas informáticas Sage, un 52% de las pequeñas y medianas empresas españolas no están familiarizadas con el reglamento o no han oído hablar de él, un 37% indica que no entiende muy bien lo que implica para su negocio y al 61% de las 154 pymes encuestadas le preocupa ser sancionada.
Estos datos son "sorprendentes" para el responsable del Equipo Legal de Producto de Sage, Ronald Lozano, ya que España es uno de los países europeos que cuenta con una normativa previa (la Ley Orgánica de Protección de Datos) y deja dudas sobre si las pymes españolas estarán listas para el 25 de mayo. Lozano ha señalado que si los empresarios desconocen la normativa "seguro que no están adaptadas" y ha añadido que "el desconocimiento puede llevar a evaluar en demasía el impacto".
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios