Las empresas españolas, preocupadas por cumplir con el GDPR a tiempo

Ante la inminente obligación por parte de las empresas españolas de cumplir el Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) en mayo del año que viene, la compañía de seguridad de la información Secure&IT dedicó a esta cuestión su III Jornada de Ciberseguridad. En el acto, inaugurado por Silvia Barrera, inspectora jefa de la Sección Técnica de la Policía Nacional, se examinaron los cambios con respecto a la normativa anterior, las responsabilidades legales de las empresas ante el nuevo Reglamento, así como los procedimientos y las tecnologías necesarias para la adecuación al RGPD. “La protección de los datos personales no sólo debe importar a las empresas por las sanciones que pueda imponerles la Agencia Española de Protección de Datos. Si sufren incidentes relacionados con esta materia, los daños a la reputación pueden ser incalculables. Además, es necesario que trabajen en la seguridad de los usuarios y de los propios trabajadores”, explicó Barrera.

¿Interesado en la GDPR? Puedes ver en este enlace el webinar en el que se analizan todos los pormenores de la nueva normativa. Además, puedes encontrar toda la información sobre qué es y que supone la nueva normativa de protección de datos en este enlace. 

Para la UE, el Reglamento ha sido adaptado al entorno digital y trata de que los ciudadanos recuperen el control de sus datos. Sin embargo, según Secure&IT, algunos informes revelan que casi el 60% de las empresas españolas no cuentan con un plan para afrontar esta nueva normativa, que ya ha entrado en vigor y que será de obligado cumplimiento en mayo de 2018.

Más sobre GDPR... GDPR: ¿dónde están los datos a proteger? (Webinar)  Tres mejores prácticas para reducir los riesgos del incumplimiento normativo Ideas para cumplir con GDPR Descubre la información para cumplir con GDPR El coste de incumplir el gobierno de la información

Precisamente, durante su intervención, Francisco Valencia, director general de Secure&IT, recomendó a las empresas ponerse ya a trabajar en la adecuación a la norma, puesto que en mayo del año que viene tienen que cumplir con el RGPD. “Uno de los principales retos reside en que el nuevo Reglamento de Protección de Datos te dice qué obligaciones tienes que cumplir, pero no cómo hacerlo. Al contrario que la actual Ley Orgánica de Protección de Datos, que sí menciona las medidas de seguridad que hay que implantar”.

Con el nuevo Reglamento, las sanciones contra las empresas que incumplan la normativa aumentan. Sonia Martín, directora de Servicios Profesionales de Secure&IT, explicó durante el evento que, en caso de sufrir, por ejemplo, una fuga de datos, se prevén multas que pueden alcanzar los 20 millones de euros o un 4% del volumen de negocio (la cuantía que sea mayor de entre las dos opciones). A esto se suma que las empresas deberán notificar a las autoridades pertinentes las brechas de seguridad, en un plazo máximo de 72 horas, con el consiguiente daño que puede suponer a su reputación.

Entre los aspectos que más preocupan a las compañías se encuentran las evaluaciones de impacto, que tendrán que realizar las empresas cuando traten datos sensibles. Luis Cisneros, compliance consultant de Secure&IT, comentó durante su intervención: “Éste es un análisis de riesgos que deben hacer las compañías y que recoge los daños que pueden afectar a la privacidad de los titulares de los datos. De nuevo, el problema es que el Reglamento nos dice que hay que llevarlo a cabo, pero no nos cuenta cómo hacerlo”.

Según Cisneros, otro de los desafíos que plantea el RGPD es la revisión de los consentimientos. La aprobación de los usuarios para el tratamiento de datos ya no puede ser tácita, el consentimiento tiene que ser explícito y claro. Esto significa que ya no servirá que se pongan casillas ya marcadas, o se basen en el silencio o la inacción.

No sólo eso, el nuevo Reglamento introduce el “derecho al olvido”, esto significa que cualquier persona podrá exigir que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quienes posean esos datos no tengan razones justificadas para retenerlos.

Por último, José Luis Piñar, catedrático de Derecho Administrativo, abogado y exdirector de la Agencia Española de Protección de Datos, fue el encargado de clausurar la jornada y explicó que se trata de un nuevo modelo, muy anglosajón, que no se centra tanto en el cumplimiento de las normas, como en dejar en manos del responsable la adopción de las medidas oportunas para cumplir con el Reglamento. La parte positiva, según él, es que no es tan rígido porque se puede adaptar la norma a la empresa y viceversa, pero el problema es que genera más incertidumbre.