¿Qué está frenando el cumplimiento del GDPR?
Hace poco más de un mes que la Unión Europea (UE) puso en marcha una nueva regulación, de las más estrictas, sobre el uso de los datos personales de cualquier usuario. Este hecho ha implicado que las empresas tengan que destinar más recursos para adaptarse a la nueva normativa. El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entró en vigor en el Viejo Continente en mayo, ha cambiado radicalmente la forma en que las empresas pueden recopilar, usar y almacenar datos personales.
Con nuevos y amplios derechos para que los usuarios tengan el control de cómo se utilizan sus datos y para que puedan decidir si estos se comparten o se eliminan, las compañías y los reguladores se ven abrumados por las reclamaciones y quejas de quienes conocen más sus derechos sobre los mismos.
Según fuentes consultadas por Financial Times, grandes empresas como Facebook o Google se enfrentan a multas de hasta el 4% de su facturación global (alrededor de 20 millones de euros) si se ven afectados por el GDPR, además de registrar un fuerte aumento de los costes en la atención al cliente por las continuas preguntas de los usuarios.
«Las empresas de tecnología, grupos de medios, minoristas y bancos se encuentran entre los más afectados por la nueva regulación debido a la gran cantidad de información personal que manejan sobre sus clientes», explica Francisco Bonnati, socio director de Bonatti Penal & Compliance, que señala que en este escenario «tener un programa de compliance ha dejado de ser una moda para convertirse en una necesidad».
Los principales objetivos del GDPR son armonizar la legislación de protección de datos en todos los estados miembros de la UE; garantizar la protección de los derechos y libertades fundamentales de los ciudadanos; dar a los propietarios de los datos control total sobre su información personal, así como fortalecer el nivel de cumplimiento con enfoque en políticas y procedimientos; dotar de una mayor seguridad y exposición de prácticas débiles poniendo más énfasis en flujos de datos seguros; e introducir un nuevo régimen de ejecución con multas más severas.
«Bajo el GDPR las sanciones por tener una mala gestión de la privacidad de datos incorrecta pueden ser graves. Las Autoridades de Protección de Datos para el cumplimiento del GDPR pueden emitir advertencias y amonestaciones, imponer prohibiciones al procesamiento, suspender transferencias de datos y ordenar la corrección de una infracción. Las infracciones menores pueden generar multas de hasta 10 millones de euros o el 2% de la facturación mundial total, mientras que violaciones más serias pueden resultar en multas de hasta 20 millones de euros o el 4% de la facturación mundial total de la compañía». No obstante, a pesar de la amenaza de sanciones severas por su incumplimiento, solo el 19% de las empresas del Viejo Continente cumplen el GDPR, según un reciente estudio de PAC/CXP Group. ¿Por qué a pesar de conocer las sanciones las empresas se arriesgan a no cumplir esta regulación?
«El desafío para algunas compañías es encontrar e implementar un enfoque que cumpla con los requisitos del GDPR, al tiempo que se evitan las trampas comunes asociadas con actividades complejas que afectan los procesos, presupuestos, tecnologías y otros recursos del negocio. Las empresas históricamente han subestimado el trabajo requerido para lograr y mantener el cumplimiento», mantienen desde Bonatti Penal & Compliance y que señalan tres razones comunes para el incumplimiento:
Conciencia y comprensión
Las empresas pueden haber leído y escuchado miles de informaciones sobre el GDPR, pero a menudo carecen de conocimientos y de una comprensión detallada de los requisitos necesarios para lograr su total cumplimiento. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.
Asumir la responsabilidad
Tras familiarizarse con los requisitos establecidos en la regulación, las empresas descubren que no es sólo un problema asociado al departamento de tecnología de la información (IT). El reglamento se ocupa de la seguridad de los sistemas e infraestructura de IT, pero la responsabilidad no recae únicamente en este departamento y debe extenderse al conjunto de la empresa.
Escasez de recursos
No tener suficientes recursos financieros o humanos no debe obstaculizar la capacidad de una compañía para cumplir el GDPR. Las organizaciones a menudo subestiman la cantidad de recursos necesarios para su ejecución. Esto incluye no solo la cantidad de tiempo necesaria, sino las capacidades de las personas involucradas en los proyectos, los costes asociados y los riesgos inherentes a la ejecución incorrecta.
«Es por ello por lo que, al implementar correctamente los requisitos del GDPR, las empresas pueden estar mejor preparadas para prevenir y detectar ataques contra sus bases de datos. Y es que invertir en el cumplimiento de GDPR puede ser el comienzo de una perspectiva de éxito completamente nueva», señala Francisco Bonatti.