“Pienso que es más adecuado hablar de Reglamento de Protección de Personas que de Datos”, sentencia con conocimiento de causa José Alberto Rodríguez, DPO de Cornerstone Ondemand, cuando se refiere al recurrente GDPR, que tantos dolores de cabeza va a levantar en los comités de dirección de las empresas.
Cornerstone es una empresa nacida al rebufo del cloud computing en 1999 y centrada en la gestión del talento, coincidiendo con el lanzamiento de la paradigmática Salesforce, y cuenta con 300 clientes que le dan acceso a datos de 32 millones de usuarios. Circunstancia que le hace muy sensible a todo lo que tenga relación con garantizar la seguridad e integridad de los datos personales.
En opinión de Rodríguez, “las empresas tendrán que ser muy transparentes en tres aspectos: qué datos recopilan, cómo las usan y de qué manera las protegen. Deberán crear o subcontratar un departamento de protección de datos”.
Lo preocupante para este experto es que las empresas españolas no han sabido de esta situación hasta que no ha aparecido en la prensa y se han puesto de relieve las severas multas que podría derivarse de un mal uso de los datos. Con la LOPD anterior las multas podían oscilar entre 900 y 40.000 euros por una infracción leve y hasta los 600.000 euros, por la falta más grave. Con GDPR, las sanciones pueden llegar a los 20 millones o el 4% de la facturación de la compañía infractora.
Aunque en la parte optimista, el DPO de Cornerstone señala que “el punto de partida en nuestro país es muy positivo porque la ley española (a diferencia de otros países europeos) y en particular el decreto de desarrollo, incorporaban una serie de obligaciones de seguridad y gestión en función del nivel de datos, aportando tanto la concienciación como la legislación necesaria para hacer las cosas de manera correcta”.
Pese a todo, reconoce el experto de Cornerstone, pocas son las compañías que realmente han iniciado las acciones necesarias para estar preparados frente al nuevo GDPR y esto parte de una mala base, “puesto que si las empresas no están preparadas para el reglamento probablemente tampoco lo estaban para cumplir con la legislación actual”.
