Las empresas en pleno sprint final para adaptarse a nuevo Reglamento de Datos

A falta de apenas un mes para que el nuevoReglamento de Protección de Datossea de obligado cumplimiento en toda Europa, las empresas españolas están en pleno "sprint" final para llegar preparadas al 25 de mayo, conscientes, no obstante, de que ese día no es el final del proceso, sino "sólo el principio".

"Lo que hemos estado haciendo hasta ahora es sólo para llegar el 25 a la línea de salida preparados", dice la delegada de protección de datos (DPO) de Ericsson en España y Portugal,Silvia Gerbolés.

La norma, que regula el tratamiento de cualquier dato personaly prevé millonarias multas para quien lo incumpla,sustituye a una Directiva en materia de protección de datos personales que data de 1995, antes de que Google, las redes sociales y los "smartphones" cambiasen para siempre el mundo digital en el que nos movemos.

Las empresas gestionan a diario millones de datos personales, desde nombres y datos bancarios y de consumo a información médica, y no sólo las grandes compañías, sino "cualquier clínica, como un dentista, un otorrino o un dermatólogo", pone como ejemplo el asesor de Cepyme en temas de protección de datos Julio Fernández.

El panorama, a falta de un mes, no ha cambiado mucho con respecto a los últimos meses: las grandes compañías "llevan tiempo ejecutando el proceso de adaptación" y las pymes, "bien por falta de recursos o de conciencia respecto a los que es el RGPD, deben ir un poquito cojas", apunta el experto de Accenture Jaume Soler.

Las pymes, que suponen el 99 % del tejido empresarial según datos de Cepyme, "tienen serios problemas" y hay gente "que ni siquiera es consciente lo que es la protección de datos a día de hoy", apunta el DPO de Huawei España, Manuel Díaz, cuya compañía cuenta entre sus proveedores con muchas pequeñas y medianas empresas.

"Hay que implicarse en ayudarlas, porque esto es un tema muy serio y para ellos tiene muchas complicaciones y conlleva una dotación de recursos enorme. El mensaje, y lo digo desde la empresa grande, es que hay que ayudar a las pymes", añade.

El asesor de la patronal Cepyme hila más fino y sitúa en el grupo de "aventajadas" a aquellas empresas con más de 25 empleados, que suelen contar, externalizado o no, con departamento informático y jurídico y su correspondiente asesoramiento.

"El problema es la empresa pequeña", donde hay bastante desconocimiento con respecto a sus obligaciones y cuya actitud es más la de "esperar hasta que salga" la nueva Ley Orgánica de Protección de Datos, cuya aprobación iba a coincidir con el inicio de aplicación del reglamento, pero se ha ido retrasando.

Y haya o no ley, la norma europea será directamente aplicable.

El reglamento, que prevé multas que pueden alcanzar los 20 millones de euros o hasta un 4 % de la facturación anual, crea la figura del delegado de Protección de Datos (DPO) y estipula que el consentimiento para el uso de los datos tiene que ser inequívoco y verificable, y no tácito como hasta ahora.

A partir de mayo, además, las empresas tendrán que informar cuando hayan sufrido una brecha de seguridad a las autoridades de control en un plazo de 72 horas tras haber tenido constancia de la misma y, dependiendo de la gravedad, a los afectados.

La norma además garantizará los derechos al olvido, es decir, a impedir la difusión de datos personales en internet si, por ejemplo, han sido tratados ilícitamente o ya no son necesarios para los fines que fueron recogidos, y a la portabilidad, que permite obtener una copia de los datos que se han facilitado a una empresa e, incluso, que ésta los ceda directamente a otra si así lo quiere el cliente.