GDPR continúa siendo un desafío para la mayoría de empresas

Ya han transcurrido algo más de 2 meses y medio desde que el Reglamento General de Protección de Datos (GDPR) entrase en vigor, y los dos años de plazo para que individuos, organismos y empresas se adaptasen no ha sido todo lo satisfactorio que desearíamos. La normativa planteaba una serie de cambios en cómo se considera esta información y cómo debe ser tratada, por lo que las compañías o grupos que trabajan con ella han tenido (y tienen) que afrontar importantes desafíos, tanto a nivel organizativo como de ciberseguridad. 

Fundamentalmente, la nueva normativa supone un refuerzo del usuario y de la privacidad de sus datos, y un esfuerzo para las empresas y organismos a la hora de limitar el uso, garantizar su cobertura y su correcto guardado y de clarificar la información al individuo. Además, se aplica a todas las empresas que trabajen con la información de ciudadanos de la UE, independientemente de si tienen su base en territorio comunitario o no. 

Entrando en aspectos concretos del GDPR, se le reconocen una serie de derechos al individuo o interesado, como se le denomina en la directiva. Entre estos está el que le sean comunicados de forma clara los usos que se va a hacer de sus datos, quién los guarda y cuáles se van a recopilar. Además, la norma reconoce determinados derechos del usuario, como el tan conocido derecho al olvido, a la rectificación de sus datos, portabilidad o limitación de su uso. 

Las empresas y organismos son divididos entre responsables o encargados del tratamiento, definiendo a estos segundos como los que tratan los datos por cuenta de los responsables, que son los que determinan los fines y medios de las operaciones realizadas con la información personal. A los dos agentes se les imponen una serie de obligaciones, algunas muy vinculadas a la ciberseguridad, como la de realizar una evaluación del nivel de protección a la hora de trabajar con los datos del usuario, lo que se entiende como un análisis de riesgo. Además, para casos que se traten un volumen a gran escala de datos, establece una suerte de vigilante de los mismos, el  Delegado de Protección de Datos. 

Recordemos que GDPR contempla que se deben notificar las violaciones en seguridad en un plazo de 72 horas máximo tras detectarlas, excepto en casos en que no haya riesgo para la información almacenada u otras excepciones, siempre justificadas. También se les pide garantizar la seguridad del tratamiento, con técnicas y medidas organizativas como cifrado y seudonomización de datos. Además, como se explicaba, se les obliga a explicar claramente al interesado qué datos recopilarán, para qué, durante cuánto tiempo, la identidad de responsable y otras cuestiones, siempre de forma “concisa, transparente, inteligible y de fácil acceso”. 

¿Están preparadas las compañías para GDPR?

Todas estas exigencias, que antes no estaban contempladas, se traducen, cómo no, en cambios que deben asumir empresas y organismos, ya que si no se exponen a sanciones económicas de hasta 20 millones de euros o el 4% de la facturación anual de la empresa. Un estudio de Deloitte de noviembre de 2017, realizado entre una muestra de organizaciones e industrias en la región EMEA, cifra en un 15% el porcentaje de encuestados que estimaban que cumplirían todos los requisitos de la nueva ley en el momento de su aplicación. La gran mayoría, el 62%, opta por lo que se denomina “una posición defendible basada en el riesgo”. Los restantes mostraban unas perspectivas de cumplimiento aún más bajas. 

La consultora Gartner no maneja unas previsiones mucho más positivas. Para esta compañía, a finales de 2018 más de la mitad de las empresas afectadas por el cambio no se habrá puesto al día de todas las obligaciones que implica la normativa. Ante este panorama, los organismos oficiales están intentando facilitar la puesta al día de los responsables y encargados del tratamiento. Por ejemplo, en España la Agencia Española de Protección de Datos ha habilitado distintos recursos para ayudar en el proceso.

Y es que el GDPR supone cambios de importancia para las organizaciones, aunque no todos son ni se perciben como igual de importantes. Según el informe de Deloitte, los requisitos que los encuestados enfocan como un mayor desafío son el cambio a una política de consentimiento clara y transparente, el derecho al olvido, el registro de las actividades de tratamiento de los datos, la parte de responsabilidad que conlleva mantener registros y demostrar el cumplimiento; y facilitar la portabilidad de datos. 

Pese a que en un primer momento el GDPR se pueda contemplar como un incremento de los procesos o un trabajo añadido a las empresas, la normativa europea también puede suponer distintas ventajas. Deloitte, por ejemplo, habla en su estudio de la “privacidad como propiciadora”. Un 61% de los participantes en el informe decían considerar beneficios adicionales en los trabajos para adaptarse al GPDR más allá de únicamente cumplir con él. Uno de cada cinco, incluso, creía que el cambio supondría mejoras como “ventaja competitiva, reputación mejorada y habilitación comercial”. Pone como ejemplos la identificación de posibles redundancias del sistema o de esfuerzos duplicados, lo que llevaría a un potencial ahorro en el gasto, o la mejora en la transparencia a la hora de mejorar la confianza del cliente en la marca.

En este escenario de necesidad de continuidad con el alineamiento de la norma,una vez que la mayoría se supone que ya han adoptado los primeros pasos, el momento se perfila como idóneo para optar por soluciones de ciberseguridad que faciliten la cobertura ante amenazas y su rápida detección. Limitarse al cumplimiento garantiza que no habrá problemas con las autoridades europeas, pero aprovechar para mejorar la infraestructura y las protecciones puede convertirse en un respaldo importante a la hora de diferenciar la empresa frente a las de los competidores.