Las empresas españolas, con dudas respecto al GDPR europeo
El próximo mes de mayo comenzará a aplicarse el nuevo Reglamento General de Protección de Datos de la UE (GDPR). A menos de medio año para que esto ocurra, muchas empresas no saben qué datos serán considerados personales ni las sanciones a las que se enfrentan en caso de incumplir la reglamentación, según un estudio que Opinium Research ha realizado para Trend Micro.
En este estudio se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de empresas de todo el mundo, y la conclusión general es que las organizaciones no han avanzado lo suficiente para estar listas para cumplir con el GDPR. Este reglamento procura actualizar y armonizar las leyes de privacidad de datos de los 28 estados miembros de la UE, así como adecuarlas a la era digital.
Centrándonos en España, el conocimiento de que la nueva norma pronto se aplicará está generalizado, hasta el punto de que el 100% de los directivos encuestados saben que deben cumplir con la regulación, mientras que hasta un 95% asegura haber leído sus requisitos. Incluso, un 82% de las empresas está convencida de que sus datos están tan seguros cómo es posible.
FECHA DE NACIMIENTO, ¿DATO PERSONAL?
Sin embargo, cuando el estudio entra en detalle aparecen datos significativos como que el 68% no sabía que la fecha de nacimiento de un cliente se debe considerar como un dato personal. Respecto a otros datos sí existe más concienciación. Por ejemplo, apenas el 15% no considera dato personal el correo electrónico, el 29% hace lo propio con la dirección postal y el 24% no clasificaría las bases de datos de email marketing como datos personales.
Pese a lo llamativo de los números, las compañías españolas parecen tomar la delantera a las de otros países. La cantidad de empresas que no clasificarían las bases de datos de email marketing como datos personales llega hasta el 42%, es decir, 18 puntos por detrás de los líderes empresariales españoles.
SANCIONES POR INCUMPLIMIENTOS
También hay un gran desconocimiento respecto a las sanciones. Hasta un 73% desconocen que la multa a la que se podrían enfrentar se establecería entre el 2% y el 4% de su facturación anual global. Incluso, el 20% de las empresas afirma que una multa "no les importaría o no les causaría demasiado inconveniente", si bien parece que expresan esa opinión desde el desconocimiento de la verdadera cuantía que deberían afrontar.
De hecho, requeridos sobre cuál sería el mayor impacto en caso de incumplimiento, el 82% de las organizaciones en España cree que serían la reputación y el daño al valor de la marca, mientras que algo más de la mitad (52%) aseguró que tendría un mayor impacto entre los clientes existentes. El 30% afirmó temer que las perspectivas de nuevo negocio se vieran afectadas, y solo el 17% considera que la multa tendría el mayor impacto.
"La falta de conocimiento en lo que rodea al GDPR que han demostrado las organizaciones en este estudio es asombrosa. Las fechas de nacimiento, las direcciones de email, las bases de datos de marketing y las direcciones postales son información crítica de los clientes, y es preocupante que todavía existan tantas compañías españolas no lo sepan, a pesar de que se muestren tan confiadas", explica David Sancho, responsable de investigación de Trend Micro en Iberia. "Si las empresas no protegen esta información, no están respetando una normativa inminente, ni a sus clientes, por tanto, indudablemente no están listos para cumplir con el GDPR".
PRINCIPALES OBLIGACIONES A CUMPLIR
A la vista de estos datos, es importante que las empresas tengan muy claro las obligaciones que tendrán que cumplir con la llegada del GDPR. OpenText las resume en seis puntos principales:
- Legalidad, legitimidad y transparencia: las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.
- Limitación de uso: la información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuarios.
- Minimización de los datos: existe una clara tendencia por parte de la mayoría de organizaciones de maximizar los datos. Con la llegada del GDPR, los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados.
- Precisión: la información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible.
- Limitación de almacenamiento: las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario.
- Integridad y confidencialidad: las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.
REFERENCIAS
73 por ciento de organizaciones desconoce la cuantía de las multas a las que se expone si incumple el GDPR (Hay Canal)
Por qué es importante el GDPR y qué puntos hay que tener en cuenta para cumplirlo (IT User)