SEGURIDAD | Artículos | 19 NOV 2018

RGPD: el estado real de la situación

Se cumplen seis meses de la entrada en vigor del nuevo Reglamento General de Protección de Datos. Ahora, ¿lo están cumpliendo las empresas? ¿Cuántas? ¿Qué está haciendo el Canal al respecto? Preguntas a las que damos respuesta en el siguiente reportaje.
rgpd
Víctor Manuel Fernández

Todas las empresas, sin importar su tamaño, tenían apuntada en rojo una fecha en sus calendarios: 25 de mayo; el día que entró en vigor el nuevo Reglamento General de Protección de Datos (GDPR, en sus siglas en inglés). Nervios, miedos ante las multas —que no eran y siguen sin ser moco de pavo—, desconocimiento en cuanto a la aplicación de la norma y cómo cumplirla… España en estado puro.

Ahí dejamos la cuestión en su momento, con las empresas más o menos conocedoras del asunto, más o menos listas para cumplir con lo dispuesto en la norma; más o menos para todo lo que fuera menester con tal de evitar, primero, ser la primera en recibir una multa, y en reconocer que los datos de sus clientes habían sido ultrajados por los amigos de lo ajeno en el universo digital. Incluso hasta hubo quien hizo apuestas para conocer qué empresa/s sería/n la/s primera/s en recibir una multa por un mal uso de sus datos. Ahí estamos todavía.

Entonces, ¿significa que las empresas españolas ya están adaptadas a lo dispuesto por el nuevo RGPD? Pues, para ser sinceros, no está la cosa para tirar cohetes. O como explica Martín Trullas, responsable de Next Generation Solutions de Tech Data Advanced Solutions, “cuanto más descendemos en la base empresarial española, que está formada por casi 3 millones de empresas y autónomos, de los cuales sólo 4.600 tienen más de 250 empleados, 25.000 entre 50 y 250 y 150.000 cuentan entre 10 y 49, el desconocimiento y la comprensión de las obligaciones se va diluyendo”. Estremecedor.

Cómo está el patio

Con las cifras de Martín Trullas puestas sobre la mesa, el panorama no es demasiado halagüeño, por lo que parece. Porque las empresas siguen cayendo en los mismos errores de siempre. Y la lista puede ser más larga que un día sin pan. A saber: uso de formularios incorrectos para recabar datos y consentimiento, comunicaciones electrónicas de carácter comercial a personas con un consentimiento anterior no válido desde la perspectiva del RGPD, no disponer de contratos o documentos jurídicamente vinculantes con sus encargados de tratamiento...

Y es que el informe publicado recientemente por la Agencia Española de Protección de Datos (APED) destaca se destaca una cierta resistencia al cambio de modelo. “En gran medida porque no se entiende el cambio de modelo y el hecho de que ahora hablemos de procedimiento, de seguimiento, de adopción de medidas, de información continua para asegurar el derecho de las personas que se relacionan con nosotros, y que por eso nos facilitan su información personal como confianza en esa relación. No me gustaría pensar que, sin embargo, queda una parte que no tomara conciencia hasta que vea actuar la aplicación”, reconoce Ronald Lozano, Product Manager Legal de Sage Iberia

.Y luego están las multas, que son para tiritar de escalofríos sólo de pensarlo —20 millones de euros o el 4% de la facturación total de la empresa. La que sea mayor—, y que aún no han caído, pero que están ahí, esperando, como el Gordo de Navidad. El experto en protección de datos en Procesia Daniel Ramil lo tiene claro: “Con este panorama, la principal conclusión que podemos obtener es que, si las empresas no se ponen las pilas ya, es probable que antes de finalizar el año se lleven una sorpresa desagradable. El responsable del European Data Protection, Giovanni Buttarelli, afirmó que antes de finalizar 2018 se procederá con las primeras sanciones y amonestaciones por incumplimiento”. Antes de que acabe el año. Y noviembre ya marcha camino de diciembre. Tic, tac, tic, tac.

Porque convendría poner las barbas a remojar cuando al vecino ya se las están pelando. A modo de ejemplo, la Comisión Nacional de Protección de Datos de Portugal (CNPD) sancionó al centro hospitalario Barreiro-Montijo el pasado 11 de octubre con una multa de 400.000 euros porque sus políticas de acceso a la base de datos de las historias clínicas permitían, entre otras cosas, que los trabajadores del área de servicios sociales tuviesen acceso a datos a los que sólo debían acceder el personal médico. También se comprobó que el número de usuarios activos que podían consultar los datos clínicos de los pacientes era de 985, cuando en el hospital trabajan 296 médicos. Las barbas. Pues eso. Pues “es también fundamental recordar que lo que puede iniciar una investigación o una denuncia es muy variado, y las empresas deberían conocer que puede ser, por ejemplo, la queja de un cliente, de un empleado (o ex empleado), una denuncia anónima, auditorías ‘de oficio’ por parte de la Agencia de Protección de Datos de cada país, etcétera”, deja caer el especialista en seguridad de Symantec.

Puede leer aquí el resto del reportaje.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios