La pymes suspenden en la nueva norma de protección de datos
27 de enero de 2018
La pymes suspenden en la nueva norma de protección de datos
El nuevo reglamento endurece el control sobre los datos personales.
El 25 de mayo entra en vigor el Reglamento General de Protección de Datos, GDPR, una norma comunitaria de aplicación directa en todos los Estados miembros que supone el mayor cambio en cuestiones de privacidad de las últimas dos décadas. A partir de ahora, cualquier empresa que acumule y solicite datos personales a alguna persona física -cliente, proveedor, empleados, pacientes, visitantes-, tiene la responsabilidad de garantizar que estarán seguros.
En esencia, el reglamento endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y cómo retirar ese acceso. En consecuencia, se establecen sistemas más claros y transparentes a la hora de solicitar a cualquier individuo el consentimiento para acceder y almacenar sus datos, incluidas las IP de sus ordenadores o dispositivos móviles.
Adaptación de las empresas
Por su parte, las organizaciones y las empresas, sin importar su tamaño, tienen que garantizar que los datos personales a los que acceden y almacenan están bien custodiados para que no se produzcan filtraciones, uno de los objetivos prioritarios de muchos ataques de hackers. Pero no sólo deben garantizar esta seguridad, sino probar que han tomado todas las medidas oportunas para que así sea.
"Las grandes y medianas empresas son conscientes de los cambios que implica el Reglamento y para el 25 de mayo tendrán sus sistemas adaptados al menos en un 80%. No así las más pequeñas y muchas medianas, que están haciendo algo o, incluso, no son conscientes",
A día de hoy, a tan solo cinco meses del cambio normativo, muchas empresas no pueden estar seguras de si cumplen o no con los cambios impuestos por Bruselas. Algunas tecnológicas han desarrollado una herramienta que permite a cualquier empresa evaluar su nivel de preparación.
Rafael García, responsable del área Internacional de la Agencia de Protección de Datos, organismo español encargado de velar por la implantación del GDPR, aclara que no importa el tamaño: "en materia de tratamiento de datos no tiene importancia, se puede ser una empresa pequeña y tener un uso intensivo en el tratamiento de datos. Por eso, es fundamental promover que las pymes estén en condiciones de cumplir con el Reglamento; no es una cuestión formal, se trata de respetar los derechos de los datos de los ciudadanos".
En la Agencia son conscientes de las dificultades que el Reglamento puede acarrear a las empresas más pequeñas, con recursos más limitados. Por este motivo, han estado trabajando en desarrollar materiales que ayuden a las empresas a comprender cómo deben tratar los datos personales a partir del próximo 25 de mayo. A principios del pasado año pusieron en marcha la herramienta informática Facilita, de uso sencillo, para las pymes que hacen tratamiento de datos de bajo riesgo; o al menos que así lo creen.
Dos nuevas guías
Pero los documentos más importantes de la Agencia están por llegar. En las próximas semanas publicará dos nuevas guías decisivas para saber cómo actuar de cara al Reglamento. Por un lado, un documento que aclarará dudas sobre cómo elaborar un análisis de riesgos y un segundo para realizar una evaluación del impacto de las medidas.
El experto insiste en la necesidad de que la Agencia aclare ciertas dudas que surgen con el Reglamento, especialmente en cómo realizar la valoración de riesgos. "Con el GDPR hay una mayor indefensión jurídica. Hasta el 25 de mayo nos regulamos por el RD 1720/2007 que determina qué medidas hay que adoptar. Sin embargo, el Reglamento es mucho más abierto y exige que cada organización o empresa evalúe si nivel de riesgo y, en función de dicho análisis, tomar las medidas que considere oportunas".
También se reconoce que la norma comunitaria tiene "sus ventajas, pero también sus inconvenientes. Las medidas ya no son café para todos; así, se deberán adoptar en función del riesgo de cada empresa". Respecto al análisis de la valoración de riesgo que debe acometer toda organización que trate con datos personales de alguna persona física, el directivo remarca que la responsabilidad es siempre de la empresa, y aunque se contrate algún asesor externo para realizar dicho análisis, "la responsabilidad no se delega".
En cualquier caso, las guías son eso, una guía. "Se incluirán cosas como la descripción de conceptos, metodología, ejemplos y modelos a seguir, recomendaciones, incluso listados de posibles riesgos".