En general, cuando hablo de la nueva ley de protección de datos, lo hago desde un tono positivo, explicando los beneficios de una buena gestión de datos para las personas y las organizaciones y la necesidad de encontrar el equilibrio adecuado entre el respeto a la vida privada y la actividad económica. “Evitar las multas” es casi siempre una estrategia limitada y con pocos resultados.

Hoy, sin embargo, a horas de que la norma entre en vigor, las empresas españolas se preguntan si están suficientemente preparadas, así que hablemos de cuáles son los riesgos reales de no estarlo.

La preocupación principal de los empresarios en cuanto al Reglamento General de Protección de Datos (RGPD) es que su bajo nivel de preparación pueda llegar a costarles hasta el 4% del volumen de facturación en concepto de multa (o hasta 20 millones de euros, la cifra que sea más alta). Es cierto que este es un coste que difícilmente podrán soportar las organizaciones, en especial las pequeñas y medianas empresas que, según el Cepyme, componen el 99% del tejido empresarial español. Sin embargo, no hay que perder de vista aquellos otros activos de la empresa que el nuevo reglamento podría poner en riesgo. Y es que la multa, por fuerte que sea, no es necesariamente la mayor pérdida que las empresas podrían verse obligadas a encajar.

Cumplir con el RGPD no es solo proteger las personas cuando se usan sus datos, es también preservar de riesgos innecesarios la reputación de las empresas

Las multas se tienen por el peor de los males que nacen del incumplimiento del RGPD, pero aquí quiero argumentar en favor de la importancia de los intangibles. Como hemos visto recientemente en repetidas ocasiones, una fuga o brecha de datos puede conllevar una caída en picado de la confianza que empleados, usuarios, consumidores y clientes mantienen hacia la empresa.

Y es que la reputación (pilar de la confianza, tanto en términos de imagen de marca como de imagen de empleador) es el primer bien a proteger en una organización. El RGPD ofrece a las empresas una gran oportunidad para salvaguardarla, que pasa por el proceso de cumplimiento, un camino que empieza el 25 de mayo pero no termina ahí. La norma insiste en que la conformidad debe ser activa y fehacientemente demostrada por la organización, una prueba que sirve para mantener “limpio” el nombre de la empresa frente a los públicos que le afectan. ¿Recuerdan aquello de “el algodón no engaña”?; pues algo así.

Cumplir con el RGPD no es solo proteger las personas cuando se usan sus datos (recuerden, el objetivo del RGPD es proteger a las personas), es proteger la reputación de las empresas en un entorno tan sensible, hiperconectado y difícil de controlar como el de hoy.

Además, las multas deberían ser proporcionales a la gravedad de la infracción, pero la reputación (sobre todo la digital) entiende poco de detalles. Incluso con una pequeña multa el impacto en reputación podría ser bastante alto.

Pero, ¿y si no llegamos a tiempo? Esta es una pregunta que muchas empresas a lo largo y ancho de Europa se repiten. Mi primer consejo: conviene empezar cuanto antes. Aunque no se llegue a la plena conformidad con el RGPD en este corto margen de tiempo, contará en favor de cada empresa la demostración de buena fe, la prueba de que se ha emprendido el proceso de cumplimiento y de que se tiene la intención de completarlo y mantenerlo. Al fin y al cabo, la buena fe es otro de los intangibles más importantes de cada organización: es lo que facilita que su palabra se tome en serio, tanto por el público como por clientes, colaboradores, empleados e instituciones. La presunción de buena fe (dicho de otro modo, la confianza) es el eje alrededor del cual gira el mundo de los negocios, independientemente del sector o tamaño de la empresa. Siempre y cuando no nos engañen, la confianza es mucho más eficaz, económicamente hablando.

En definitiva, aún se puede (y se debe) poner en marcha el proceso de conformidad: si no por las multas, ni por los beneficios de una buena gestión de datos, al menos por aquellas pérdidas que no se pueden medir en cifras, pero que tendrían un impacto muy real y, en ocasiones, mucho más devastador que una sanción económica.

Nunca es tarde si la dicha es buena.