ACTUALIDAD | Artículos | 21 MAY 2018

Semana clave para la adaptación al RGPD

'Rien ne va plus', que diría un crupier de ruleta rusa. Ya está aquí el 25 de mayo, fecha de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD). Es el momento de comprobar si las empresas españolas, que son las que nos ocupan y preocupan, están listas. Y la respuesta es...
GDPR Especial OK
Víctor Manuel Fernández

25 de mayo. Parecía lejos, que nunca llegaría, que quedaba una eternidad, pero ya está aquí. Y con él, la implantación del nuevo Reglamento General de Protección de Datos (RPGD). ¿Y? Pues ésa y no otra es la razón de este reportaje; que podamos hacernos una composición de lugar acerca del percal —que no es para tirar cohetes, ya lo advertimos— y de cómo dicha reglamentación cambiará la manera de tratar los datos, tal y como la conocemos hasta ahora; de vislumbrar por dónde irán los tiros en cuanto a las primeras sanciones económicas por su incumplimiento, que se temen, y mucho.

Cómo está el patio

Si nos atenemos a los diversos estudios realizados por consultoras y empresas en los últimos meses, la cuestión provoca no pocos escalofríos entre las empresas. Por resumir algunos de aquéllos:

· Más de la mitad (54%) de las empresas globales cree que no están preparadas para cumplir con el Reglamento General de Protección de Datos de la UE (RGPD), según una investigación de KPMG publicada el pasado mes de abril.

· En otro estudio, GDPR readiness by industry, el 75% de las compañías encuestadas afirmaba no estar preparadas para el cumplimiento con GDPR en la fecha 25 de mayo de 2018.

· Gartner prevé que, para finales de 2018, más de un 50% de las compañías afectadas por el reglamento no lo cumplirá en su totalidad.

Escalofríos, decíamos. Y el sentir general se resume en estas palabras de Rufino Honorato, CTO y director preventa de CA Technologies para el Sur de Europa: “No cabe duda acerca de la complejidad y profundidad de los cambios que implica el nuevo reglamento RGPD. Por este motivo, aunque en general se han acelerado los preparativos para su implantación, muchas organizaciones y empresas no estarán en disposición de cumplir con el 100% de la regulación para la fecha de entrada en vigor”.

Y si no teníamos bastante, las noticias que han tenido a la red social Facebook como protagonista en las últimas semanas sirven para ejemplificar el escenario al que nos enfrentamos, y con una doble vertiente: el de asegurar la protección de los datos porque así lo dispone el nuevo reglamento, y el de la picaresca. Que de todo hay en la viña del Señor.

Al respecto de la primera vertiente, destacamos estas palabras de Sonia López Viñuela, Sonia López, Marketing Manager Exact Spain, Poland and France: “Esto hace que, hoy más que nunca, exista mayor conciencia por parte de los usuarios de los riesgos y los derechos, del uso no ético de su información. Esto hace que, a pesar de que la Agencia de Protección de Datos puede actuar de oficio, existen más riesgos de que se actúe bajo denuncia y que dichas denuncias puedan producirse tras la entrada en vigor por parte de usuarios que consideran que se hace un uso fraudulento del tratamiento de sus datos.

Y unimos estas palabras a la segunda vertiente, a la de la picaresca, porque siempre hay personas dispuestas a usar la mínima oportunidad que tengan a su alcance en beneficio propio. Y el RGPD no iba a ser menos. Así que, como advierte Guillermo Sato, director de Canal de Fortinet Iberia, “es más que posible que la entrada en vigor del RGPD conlleve la proliferación de campañas de ciberextorsión. Por lo tanto, es probable que muchas compañías empiecen a recibir un email del tipo “hemos vulnerado sus sistemas. Si no quiere que dé a conocer esta situación denunciándolo por no cumplir con lo dispuesto en dicho reglamento, debe ingresar en bitcoins XX euros”.

Aunque, en lo tocante a las multas, es mejor no dejarnos atrapar por el pesimismo y hacer caso a las explicaciones que nos da Raúl Guillén, director de Canal de Trend Micro Iberia: “El regulador del Reino Unido, la Oficina del Comisionado de Información (ICO), ha sido muy claro a este respecto: “Es alarmista asegurar que vamos a poner en el punto de mira a las organizaciones por infracciones menores o que las multas máximas se van a convertir en la norma”. Pero también es importante tener en cuenta, que mientras los reguladores buscarán desempeñar un papel consultivo y educativo —utilizando el valor añadido de diferenciación competitiva en lugar de aplicar multas punitivas—, al mismo tiempo habrá límites”.

En resumen, las organizaciones que no hagan ningún esfuerzo por cumplir con la ley después del 25 de mayo pueden correr el riesgo de sufrir algún tipo de acción coercitiva o multa, especialmente si manejan datos personales confidenciales o los procesan de forma potencialmente intrusiva. Como bien dice el ICO: “No es el tamaño de la organización lo que es relevante, sino el riesgo que plantean las empresas y los tipos de procesamiento de datos en particular”.

Qué deben hacer los rezagados

Como aquí estamos para aconsejar, para dar aliento y para enderezar entuertos más que para meter miedo —para eso basta con abrir las páginas de cualquier periódico—, a las empresas que aún no se hayan adaptado al nuevo reglamento hay que decirles que deben hacerlo ya. Pero ya. Se trata de un viaje obligatorio para todas las empresas. Y, especialmente, que no esperen a la llegada de las multas por no hacerlo a su debido tiempo —entre el 2 y el 4% de la facturación anual o bien 20 millones de euros. La que sea más alta. A modo de recordatorio—.

Guillermo Sato, de Fortinet Iberia, lo tiene muy claro: “El proceso de adopción de RGPD va a requerir una revisión de las soluciones y estrategias, con un enfoque amplio, potente y automatizado de la seguridad. En ese sentido, y teniendo en cuenta los artículos de esta nueva reglamentación que hablan de los procedimientos y obligaciones en torno a una brecha de seguridad y/o posible fuga de datos, nuestra recomendación es que las organizaciones dispongan de una arquitectura de seguridad que les ofrezca una mayor visibilidad de lo que está ocurriendo en su organización, minimizar el riesgo de violaciones graves reduciendo el tiempo necesario para detectar y responder a nuevas amenazas y así poder reportar los incidentes en los plazos que marca esta ley.

Puede leer aquí el resto del reportaje.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 1 comentarios