Avanza la cuenta atrás para que la nueva normativa de protección de datos de la Unión Europea, el GDPR (por sus siglas en inglés), sea de obligado cumplimiento para todos, empresas e instituciones, y parece que las compañías siguen sin tomar medidas. Esa cuenta atrás finaliza el próximo 25 de mayo y al día de hoy únicamente el 10% de las empresas españolas cumplen con el GDPR, a pesar de haber contado con dos años para adaptarse. Es lo que dice un informe de IDC para el que se han tenido en cuenta las opiones de 100 empresas españolas de todos los sectores y con una plantilla de más de 250 empleados.
El estudio también dice que un 25% de las empresas tiene planes sólidos para asegurar el cumplimiento en mayo de 2018, mientras que un 65% no cuenta con una estrategia a día de hoy. Es decir, la mayoría de las empresas españolas está iniciando ahora su viaje hacia el nuevo marco normativo.
Estos datos se encuentran ligeramente por debajo de la situación europea, donde el 18% de las organizaciones ya cumple con la legislación. A la cabeza del continente se encuentran Alemania (26%), Reino Unido (24%) e Italia (20%). Las empresas españolas tienen, por tanto, que aumentar sus esfuerzos si no quieren quedarse atrás. “Sin embargo, la situación es cada vez más positiva, ya que una de cada tres empresas españolas considera la nueva regulación como una ventaja competitiva o una oportunidad para mejorar la eficiencia o la revisión del gobierno de la información”, apunta Laura Castillo, analista senior de IDC Research España.
Los principales motivos detrás de la falta de cumplimiento son el conflicto de prioridades (56%), la limitación de recursos (49%), la ausencia de presupuesto (46%) y el desconocimiento (42%). Aunque el 96% de las empresas encuestadas ha oído hablar de GDPR, muchas todavía tienen dudas sobré cómo aplicarlo (59%): qué datos tienen que proteger, cómo tienen que gestionarlos o qué medidas de seguridad necesitan implementar. “GDPR regula la recopilación, el almacenamiento y el uso de “datos personales”, es decir, cualquier información que sirva para identificar a una persona natural. Esto abarca desde conceptos tan fácilmente identificables como el nombre o el email, pero también una dirección IP, la información procedente de cookies”, explican desde IDC Research España
Una cuestión de reputación, más que de bolsillo
Según IDC, el GDPR es un reto reputacional más que económico, a pesar de que las multas son considerables: hasta el 4% de la facturación mundial o 20 millones de euros en el peor de los casos. Y es que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa, con el consecuente perjuicio al negocio. Para evitar ese daño reputacional, cumpliendo con el GDPR, las empresas deben afrontar una serie de retos como son los relacionados con los requerimientos o con la clasificación de los datos. IDC estima que en torno al 70-80% de los datos de una empresa son “datos oscuros”, es decir, datos sobre los que la organización no tiene visibilidad, por tratarse de duplicaciones o porque forman parte de contenido desestructurado, entre otros motivos. Esto dificulta su localización y gestión.
Las organizaciones también consideran un reto la prevención de pérdidas de datos (53%), es decir, asegurar que los usuarios finales no envían información sensible fuera de la red corporativa. “Para ello es fundamental las iniciativas de formación y concienciación de los empleados”, apostilla Laura Castillo.
El 90% de las empresas encuestadas indica que van a recurrir a la ayuda de empresas externas para ponerse al día con el GDPR
Una de las principales preguntas de las empresas es cómo va a afectar GDPR a cloud. Muchas organizaciones temen introducir un factor de riesgo adicional que no puedan controlar adecuadamente, y quieren evitar los requisitos contractuales complejos. Aun así, un 53% de las organizaciones va a continuar apostando por la nube sin considerar el impacto del GDPR. El resto de las organizaciones, por el contrario, sí va a condicionar su estrategia cloud, migrando sus servicios a proveedores en España (23%), Europa (4%) o directamente a un datacenter propio (6%).
“Es muy importante que los usuarios de servicios cloud sean conscientes de que no se puede subcontratar la responsabilidad del cumplimiento de GDPR a un proveedor de servicios. Eso no exime a los proveedores de aplicar las medidas de seguridad necesarias y comunicárselo a sus clientes”, subrayan desde la consultora. Finalmente, dado el alto grado de desconocimiento que todavía hay hoy en día en torno a GDPR, no es de extrañar que el 90% de las empresas encuestadas indiquen que van a recurrir a la ayuda de empresas externas.
La ayuda más demandada será la de consultoras especializadas en riesgos (39%), organizaciones de servicios TI locales (36%) y bufetes de abogados (35%). Se busca por tanto la especialización como factor diferencial, ya sea una especialización en las soluciones (seguridad), en el ámbito (local) o en el enfoque (legal).
