Noticias

¿Cómo afrontan las empresas la recta final del GDPR?

Seguridad

Los datos no parecen esperanzadores, un gran porcentaje de empresas españolas todavía desconoce las implicaciones del nuevo reglamento o no ha iniciado todavía su proceso de adaptación.

La fecha fatídica del 25 de mayo se acerca y -todo parece apuntar- la casa sin barrer. ¿Están las empresas españolas volcadas en la adaptación al nuevo reglamento de privacidad europeo? ¿O más bien están abocadas a la proverbial costumbre latina de dejar todo para el último momento? En diciembre, IDC estimaba que solo el 10% de las empresas cumplía con el GDPR y que un 25% tenía planes sólidos para asegurar el cumplimiento en primavera. El 65% restante no contaba con una estrategia para alcanzar el objetivo.

Este mismo estudio apuntaba a los países europeos más proactivos, especialmente Alemania (con un ratio del 26%), Reino Unido (24%) e Italia (20%). Una aproximación más reciente de Sage pinta un cuadro más preocupante: un 38% de las empresas sondeadas no cree que vaya a tener listos todos los requerimientos necesarios para cumplir con el GDPR para el 25 de mayo, y un 22% considera que no cuenta con los recursos suficientes para llevar a cabo esta adaptación.

Estos datos, negativos por sí mismos, parecen maquillar una realidad todavía más cruda, a tenor de afirmaciones de expertos como Javier Pérez Bermejo, digital practice manager de Prodware. “Mis sensaciones son que a día de hoy nadie cumple con el GDPR”, sentencia tajante. “No es lo mismo decir que cumples, a hacerlo en su totalidad. Si acaso las muy grandes están emprendiendo acciones; en el mercado se observa mucha parálisis y solo se aprecian movimientos encaminados a la asesoría y auditoría”.

Luego está el tema de empresas que se autocalifican expertas en el GDPR, sin que esté clara su oferta. En este punto, Pérez Bermejo apunta que “el pasado año algunas empresas se subieron al carro con cierto oportunismo, colocando la etiqueta de GPDR en sus soluciones; no lograron apenas éxito pues el mercado permanecía muerto”.

”En España tenemos más madurez en cuanto a los requisitos de cumplimiento de privacidad”

Este año ha cambiado la decoración, los clientes están más informados y las empresas han articulado su oferta de una forma más racional. “El enfoque lógico es si quieres dar una solución de GDR tienes que dar una solución global que incluya tres aspectos: la parte más estrictamente legal, la parte de procesos de negocios y la parte tecnológica”, argumenta el experto. No se puede dejar de lado ninguna de las tres. Las empresas que ofrecen ese enfoque global son las que están dando un servicio correcto a sus clientes, y no abundan. Aquí grandes consultoras como Deloitte o Accenture están dando servicios a este nivel en grandes cuentas.

Grandes empresas, un ámbito más proactivo

Precisamente, las sensaciones de Jaume Soler, responsable de privacidad en Accenture Security, son más optimistas, al menos en lo que se refiere a grandes multinacionales que han emprendido acciones para adaptarse a un reglamento, pues no están dispuestas a que su prestigio sufra algún deterioro y esto suponga graves contratiempos para su negocio. “Nuestro foco son las grandes multinacionales españolas, igual que nuestros colegas europeos. Las grandes cuentas ya han iniciado el proceso de adaptación. Especialmente, en el sector financiero ya llevan un año, si bien en otros casos han entrado en un proceso light; aunque a partir de navidades han visto todo el iceberg entero y han acelerado su actividad en este ámbito”.

En diciembre, IDC estimaba que solo el 10% de las empresas cumplía con el GDPR

“Y en cuanto a las empresas nacionales, están dando un enfoque más hacia la actualización de la normativa de protección de datos y se han percatado de que hay que hacer muchísimas más cosas que una mera actualización. Con relación a las pymes no tenemos visibilidad”, insiste Soler. Un aspecto positivo es, en su opinión, que “en España tenemos más madurez en cuanto a los requisitos de cumplimiento de privacidad, lo que nos da cierta ventaja sobre otros países europeos; el resto de los países parten de cero y les están dando una dedicación importante”.

La inquietud se aprecia más en empresas públicas de cotización bursátil, que se muestran sensibles a las implicaciones que una brecha de seguridad puede tener en su valor de marca. Como explica el portavoz, “el enfoque que da Accenture es dar servicios end to end. Esta normativa requiere tener un offering técnico, organizativo y legal.

Accenture no da servicios legales y para ello tiene diferentes alianzas con despachos de abogados”. Accenture dispone de varios modelos que se adaptan a las necesidades de la empresa, “cada cliente tiene unas peculiaridades diferentes y requerimientos de privacidad. Tenemos varios modelos que van desde la definición de la estrategia de adaptación a la ejecución de los aspectos técnicos y legales”. Su propuesta de GDPR también le facilita la tarea a la hora de poner en marcha proyectos de transformación digital en los que se asegura el cumplimiento de facto de cualquier implantación que se realice.

GDPR no es un destino final, sino un viaje que hay que ir revisando con asiduidad: “Las empresas ponen mucho empeño en la adaptación, pero luego reducen sus esfuerzos en actualizaciones. Con el GDPR se introduce un término de responsabilidad activa, que obliga a las compañías, si es requerido, a entregar su marco de control periódico para validar que estás haciendo todo lo necesario, no solo con tus recursos sino con tus proveedores”.

¿Qué sucede entre LOPD y GDPR?

La Ley Orgánica de Protección de Datos se aprobó en 1999 como una transposición a la legislación española de la Directiva Europea de Protección de Datos de 1996. El caso del GDPR es distinto, pues se trata de un reglamento con rango de ley, que se aplica en todos los países prácticamente por igual. Los países miembros opcionalmente pueden, si lo desean, añadir una nueva disposición. Sin embargo, el GDPR no hace alusión a la LOPD ni a otra ley local. “Por ejemplo, el reglamento dice que la edad mínima para dar consentimiento de tus datos son los 16 años, pero un país podría rebajarla a 13 años”, ilustra Javier Pérez de Prodware.

En España se puso en marcha el pasado año un anteproyecto de ley de acompañamiento de GDPR, que introduce algunas concreciones, como es el caso de los hospitales y casas de apuestas. Se trata de una ley adicional a GDPR que está tramitándose en el parlamento en estos momentos. La LOPD estará vigente hasta que se apruebe la nueva ley y luego será derogada. Y en ningún caso la ausencia de ley exime del cumplimiento del GDPR a partir del 25 de mayo.

Si para esta fecha no hay ley española, nos encontraremos con la situación rocambolesca de tener que cumplir con GDPR y LOPD, “con la circunstancia que el GDPR incluye todas las obligaciones de la LOPD, por lo que no serán dos normas, sino una más grande y ‘trocitos’ de ley concretos de LOPD que por ejemplo obliga a todas las empresas declarar a la Agencia de Protección de Datos todos los ficheros de datos que maneje, algo que se incumple de modo general y que presumiblemente no exigirá el GDPR”, concluye el experto de Prodware. Francia y Alemania son los primeros países que han publicado su ley.  

LA PREGUNTA
El crecimiento de la economía se está ralentizando. ¿Hasta qué punto lo está notando en su negocio?