Más de la mitad de las pymes españolas desconocen cómo aplicar la nueva protección de datos

Dentro de dos meses, el próximo 25 de mayo, finaliza el periodo de adecuación al Reglamento General de Protección de Datos europeo (GDPR). Fue aprobado en 2016 y, sin embargo, muchas empresas continúan sin adaptar sus procedimientos a esta norma y podrían no llegar a tiempo a su aplicación.

El GDPR es una norma comunitaria de aplicación directa en todos los Estados miembros, entre ellos España, que supone el mayor cambio en cuestiones de privacidad de los últimos 20 años. Desde su entrada en vigor, cualquier empresa que acumule y solicite datos personales a una persona física tiene la responsabilidad de garantizar que estarán seguros. Se trata de que las empresas se impliquen de forma activa en la gestión y protección de estos datos, no como meros custodios de la información, presentando todo un reto especialmente para la pequeña y mediana empresa.

La Agencia Española de Protección de Datos (AEPD) lleva meses advirtiendo de la importancia de esta norma. En palabras de su directora, Mar España, "supone un cambio de mentalidad con respecto al actual marco vigente, al apostar por el principio de la responsabilidad activa de las organizaciones que tratan datos". Sin embargo, los informes más recientes han hecho saltar las alarmas sobre la falta de adecuación de las empresas a la nueva normativa. 

Según los datos recogidos por el sello online Trusted Shops, sólo el 64% de los encuestados conocía el nuevo reglamento a finales de 2017. Una encuesta más reciente, la de la empresa de herramientas informáticas Sage, revela que un 52% de las pequeñas y medianas empresas españolas no están familiarizadas con el reglamento o no han oído hablar de él, un 37% indica que no entiende muy bien lo que implica para su negocio y al 61% de las 154 pymes encuestadas le preocupa ser sancionada.

Las grandes empresas han hecho los deberes, pero también los pequeños empresarios, que se habían quedado atrás, han apretado en los últimos meses

Un desconocimiento 'sorprendente' para los expertos consultados, ya que España es uno de los países que cuenta con una normativa previa (La Ley Orgánica de Protección de Datos). En conversación con Vozpópuli, Camilla Nobili, asociada senior de Cremades & Calvo Sotelo, considera que esta situación ya ha empezado a revertirse: "Las grandes empresas han hecho los deberes, pero también los pequeños empresarios, que se habían quedado atrás, han apretado en los últimos meses". Destaca que la preocupación de las empresas ha aumentado y con ella la puesta a punto de las medidas necesarias.

De hecho, explica, en el último mes se han disparado las consultas sobre la adecuación empresarial al Reglamento en los despachos especializados. También los requerimientos a la Agencia Española de Protección de Datos, que ha puesto al servicio de estas empresas las herramientas necesarias para adaptarse a la normativa.

En la mayoría de los casos, las consultas se refieren al tratamiento de los datos de carácter personal. "El enfoque ha cambiado", cuenta Camilla Nobili. "Ahora cualquier tratamiento implica un riesgo y cada empresa tiene que analizar todos los datos relativos a una persona identificada o identificable, desde su consentimiento a la utilización de estos datos hasta la información previa de los mismos".

Incidencia real en las empresas

El cambio normativo supone la responsabilidad proactiva de las empresas: estas estarán obligadas a demostrar su cumplimiento del Reglamento, de manera que se hará necesario mantener un registro de actividades de procesamiento, realizar valoraciones del impacto de la protección de datos y documentar los incidentes relativos a la misma.

Ojo con las sanciones. Desde la entrada en vigor del RGPD, la Agencia Española de Protección de Datos vigilará de cerca las declaraciones de protección de datos. De ahí la preocupación ante el desconocimiento por parte de muchas empresas de las medidas a tomar. Y no hablamos de cifras menores. El art. 83 del Reglamento contempla, para determinadas infracciones, multas de hasta 20 millones de euros o de un 4 % del volumen de ventas anual de una empresa.

Para esquivar estas sanciones y poner en marcha el Reglamento se ha creado la figura del delegado de protección de datos. La propia normativa  establece que los vendedores online deben nombrar uno si su actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos personales. Es el caso, por ejemplo, de la Administración pública en la que será obligatoria esta figura.

En el resto de los casos, los expertos consultados destacan que la necesidad que la necesidad de contar con la figura del delegado variará mucho en función de la propia empresa, la labor a la que se dedique y su tamaño. En las Pymes, insisten, será más que suficiente con las herramientas que facilita la propia Agencia Española de Protección de Datos.