El reglamento europeo de protección de datos exigirá a las empresas ser proactivas

El nuevo Reglamento General de Protección de Datos (RGPD) europeo, aprobado en 2016 y que comenzará a aplicarse a partir del 25 de mayo de este año, exigirá a las empresas que sean “proactivas” en lugar de “reactivas” en esta materia e implicará un desafío extra para las pymes, según expertos consultados por Efe.

Servidores para el almacenamiento de datos. EFE/Susanne Lindholm

A poco más de dos meses para que termine el periodo de adecuación al Reglamento General de Protección de Datos europeo, muchas empresas aún están en un proceso de adaptación que podría hacer que no llegaran a tiempo.

La presidenta de la Asociación Profesional Española de Privacidad (APEP), Cecilia Álvarez, ha apuntado a Efe que en las conferencias que pronuncia sobre protección de datos recibe preguntas “tan básicas” que le llevan a pensar que muchas empresas están “al inicio” del proceso de adecuación a la nueva normativa.

Las grandes empresas están más concienciadas, aunque no necesariamente en un nivel de cumplimiento perfecto para el 25 de mayo, pero llegarán en una posición razonable”, ha puntualizado Álvarez antes de añadir que la clave para las compañías es tomar la protección de datos como un área de negocio.

Muchas empresas están “al inicio” de su adecuación al RGPD, alertan los expertos

Uno de los encargados de la formación a pequeñas y medianas empresas sobre esta materia es el asesor de Cepyme y responsable de Masprivacidad Julio Fernández, quien ha asegurado a Efe que en todas las jornadas de divulgación a pymes ha encontrado “auditorios llenos” y empresas “bastante concienciadas”, aunque ha reconocido que algunas compañías “no van a llegar” a la fecha señalada.

El RGPD incluye nuevos derechos para los ciudadanos como la portabilidad de sus datos o el derecho de supresión (el conocido como “derecho al olvido”) y obliga a las empresas a recoger un consentimiento activo.

Hasta ahora valía el consentimiento tácito, que quiere decir que si el usuario no dice lo contrario se autoriza a ceder los datos, mientras que a partir de ahora será necesario un consentimiento positivo, lo que implica actualizar todos los formularios”, ha señalado Fernández.

Finanzas, seguros, salud, educación o servicios digitales, las más afectadas por el RGPD

Empresas de servicios financieros y seguros, salud, educación, servicios en Internet o que traten datos para publicidad son las que tendrán que prestar mayor atención al RGPD, que requerirá de un cambio de mentalidad en la protección.

Las empresas tendrán que ser proactivas en lugar de reactivas. Hasta ahora actuamos cuando pasa algo, el reglamento nos conciencia de cuidar la privacidad desde el diseño, que la protección de datos vaya de la mano del diseño”, ha afirmado Fernández.

Entre los aspectos que más preocupan a las pymes se encuentran las sanciones, las medidas de seguridad, los análisis de riesgo y las evaluaciones de impacto; y también la redacción de los consentimientos de uso de datos que se piden a los usuarios.

El RGPD incluye multas por infracciones que pueden llegar a los 20 millones de euros o el 4 % del volumen del negocio anual de una empresa; e introduce la figura del delegado de protección de datos (DPD por sus siglas en español, DPO en inglés).

Un 52% de las pymes españolas no está familiarizada con el nuevo reglamento de protección de datos

Según una encuesta de la empresa de herramientas informáticas Sage, un 52 % de las pequeñas y medianas empresas españolas no están familiarizadas con el reglamento o no han oído hablar de él, un 37 % indica que no entiende muy bien lo que implica para su negocio y al 61 % de las 154 pymes encuestadas le preocupa ser sancionada.

Estos datos son “sorprendentes” para el responsable del Equipo Legal de Producto de Sage, Ronald Lozano, ya que España es uno de los países europeos que cuenta con una normativa previa (la Ley Orgánica de Protección de Datos) y deja dudas sobre si las pymes españolas estarán listas para el 25 de mayo.

El 52% de las pymes no conoce el RGPD y solo un 35% de las grandes lo cumple o tiene planes para hacerlo

Lozano ha señalado que si los empresarios desconocen la normativa “seguro que no están adaptadas” y ha añadido que “el desconocimiento puede llevar a evaluar en demasía el impacto”.

Un estudio de la consultora IDC y Microsoft realizado entre un centenar de empresas españolas grandes (con 250 empleados o más) refleja que a finales de 2017 tan solo un 10 % consideraba que cumplía con la regulación, a lo que se añade un 25 % que aseguró tener “un plan sólido” para llegar al 25 de mayo.

“Los principales obstáculos que está teniendo la gran empresa, y que se aplican a la pyme son los recursos limitados, la ausencia de presupuesto específico para ello y la falta del conocimiento necesario“, ha explicado a Efe el director de Operaciones y Marketing de Microsoft, Antonio Budia.

Para ello, empresas privadas como las ya mencionadas Microsoft y Sage han puesto en marcha herramientas de diagnóstico. Asimismo, instituciones públicas como la Agencia Española de Protección de Datos (AEPD) ha lanzado guías y herramientas como Facilita, y ha celebrado jornadas junto a la patronal Cepyme para dar información a pequeñas y medianas empresas.