OpiniónSeguridad

GDPR: Año I

Por Juanjo Galán, Business Strategy de All4Sec.

En un mundo digitalizado y globalizado como el nuestro la expresión “la información es poder” es más cierta que nunca. Es sobre la información sobre la que se toman las decisiones más importantes a todos los niveles. Es por eso que no es de extrañar que el acceso a los datos de los usuarios y ciudadanos se haya convertido en una prioridad para muchos.

Y es que cualquier recurso valioso no regulado acaba generando problemas y los datos no son ninguna excepción.

En abril de 2016, la Unión Europea tomó cartas en el asunto y aprobó el Reglamento General de Protección de Datos que afecta a todas aquellas empresas que manejen datos de ciudadanos europeos. El 25 de mayo de 2018 la normativa pasó a ser de obligado cumplimiento y las empresas tuvieron que adaptarse a la legislación. Pero, una cosa es la teoría y otra es la práctica.

¿Qué ha cambiado después de un año de GDPR?

La mayoría de las grandes empresas y organizaciones españolas se han adaptado relativamente rápido a la nueva normativa mientras que muchas pequeñas y medianas empresas no lo han hecho aún. Se trata de un dato que no es baladí ya que más del 98% del tejido empresarial español está constituido por PYMES.

Una de las principales razones de esta disparidad la encontramos en la repercusión que muchas de estas compañías le asignan al reglamento de protección de datos dentro de su organización. Las grandes empresas manejan que son más susceptibles de sufrir las consecuencias de no cumplir con la normativa. Esto las lleva a ser más rigurosas con su cumplimento.

Sin embargo, en las PYMES la situación refleja un comportamiento sensiblemente diferente. El desconocimiento de las características del GDPR juega un papel importante. Su principal problema tiene que ver con el conjunto de obligaciones que trae consigo la GDPR y las maneras que pueden afrontarse. Esto genera confusión entre las PYMES que no tienen exactamente claro cómo cumplir con el reglamento. 

La aproximación seguida durante el último año ha pasado por clarificar las áreas y situaciones que cubre el GDPR, facilitar los métodos requeridos para su cumplimiento y lo más importante de todo, concienciar a las empresas sobre el peligro de las fugas de datos y el daño que puede causar tanto a los usuarios como a la propia empresa.

Las autoridades no han sido ajenas a este compromiso y no solo han hecho cumplir el reglamento si no también se han encargado de difundir su significado e importancia.

Durante este periodo se ha llevado a cabo algunas iniciativas relevantes como la de IPYME que ha publicado una lista de material de utilidad para que la mediana y pequeña empresa pueda cumplir con sus obligaciones regulatorias o la AEPD con sus guías sobre algunos de los procedimientos aplicables y su herramienta FACILITA dirigida al tratamiento de datos personales de bajo riesgo.

Pero esto no acaba aquí. Las organizaciones necesitan profesionales para ayudarles con la aplicación del reglamento. En toda empresa, sin importar su tamaño, debería haber un grupo de personas que conozcan el GDPR o cómo mínimo que se hayan formado para poder entenderlo mejor. Aunque aún hay un largo camino por recorrer las compañías son cada vez más conscientes de la importancia de la protección de datos personales. Démosles un poco más de tiempo. Dentro de no mucho el cumplimento del reglamento se hará rutinario, como cualquier otra ley.

Computing 793