Guía de supervivencia al GDPR: estos son los requisitos más difíciles de cumplir

Cada vez está más cerca el día en el que el panorama corporativo cambie radicalmente en la Unión Europea. Sucederá en apenas diez meses, cuando finalice el plazo para que los Estados miembros hagan entrar en vigor el nuevo Reglamento General de Protección de Datos aprobado por la Comisión Europea, el conocido como GDPR (por sus siglas en inglés).

La nueva normativa de protección de datos actúa en dos líneas principalmente. Por un lado, asegura que los ciudadanos de la Unión Europea recuperan el control sobre su información personal, convertida en muchos casos en la moneda de cambio para hacer uso de numerosos servicios a través de internet. Por otra parte, plantea un nuevo horizonte en el que las empresas podrán encontrar facilidades para numerosos procesos de negocio en un mercado digital único.

Sin embargo, no es oro todo lo que reluce. Las exigencias del GDPR obligarán antes de mediados de 2018 a las empresas europeas (y a cualquiera que quiera operar en el territorio comunitario) a supervisar el nivel de seguridad que protege el almacenamiento de los datos de sus clientes, lo que repercutirá directamente en su presupuesto. Este gasto podría afectar especialmente a todos esos proyectos emergentes de pequeñas y medianas empresas que, sin los medios necesarios, no podrán llegar a nacer cumpliendo con la inminente normativa.

De hecho, ya hay quienes han analizado los pormenores de este reglamento para determinar cuáles de las futuras obligaciones que tendrán las empresas serán más difíciles de cumplir para estas. Un reciente informe publicado por la firma de consultoría Ernst & Young (EY) indica que cuestiones como el derecho al olvido, la posibilidad de portabilidad de los datos de una plataforma digital a otra y la obtención de un consentimiento explícito por parte de los usuarios son las tres exigencias más complicadas para las compañías del territorio comunitario.

“La introducción de nuevos derechos para los particulares, como el derecho al olvido y el derecho a la portabilidad de los datos, así como la obligación de notificación en caso de brecha de seguridad, aumentarán la carga reglamentaria y de cumplimiento normativo para las organizaciones”, explica José Domínguez, director de EY Abogados.

La situación es más grave aún si se tiene en cuenta el punto del que se parte. En el mismo informe del año anterior (llevado a cabo, como en esta ocasión, junto a la Asociación Internacional de Profesionales de la Privacidad, IAPP por sus siglas en inglés), el 63 % de los encuestados reconocía que el grado de madurez de sus políticas de protección de datos se encontraba por aquel entonces en etapas tempranas o medias.

Ahora que el cronómetro ha iniciado la cuenta atrás para la llegada efectiva del GDPR, cobra aún más importancia otro de los datos que revelaba aquel informe: el 67 % de las empresas indicaba que cumplir con la normativa y la legislación era la principal razón para invertir en la protección de datos. Por si esto fuera poco, ya en 2015 el 31 % de las compañías participantes en el informe aseguraban estar planeando ampliar sus departamentos de privacidad, con el consiguiente aumento del presupuesto destinado a la protección de datos.

Más empleados, más difícil

Además de la dificultad obvia que tendrán aquellas pequeñas y medianas empresas que deban dedicar una parte de sus presupuestos al cumplimiento de las nuevas normas que aterrizarán en el Viejo Continente el día 25 de mayo de 2018, según el reciente informe de EY en colaboración con la IAPP, las compañías tendrán aún más dificultades cuanto mayor sea su tamaño.

Así, el informe indica que los requisitos que deberá cumplir el Responsable de Protección de Datos de las organizaciones que tengan entre 25.000 y 74.000 empleados serán de difícil cumplimiento.

No en vano, entre estas exigencias se encuentran el establecimiento de una cultura de seguimiento y evaluación en el tratamiento de datos dentro de la empresa, el desarrollo de nuevas medidas de seguridad o la documentación de las políticas y procedimientos que se llevan a cabo, entre otras. En definitiva, una tarea titánica para un cargo nacido tras la llegada del GDPR.

No obstante, el informe de EY asegura que hay organizaciones que lo tendrán aún más complicado: “Para las empresas que tienen un beneficio de más de 100 millones de dólares, [lo difícil] es la comprensión del marco regulatorio”, explican desde la firma.

Todo eso, sin obviar que el principal riesgo al que se enfrentan aquellas compañías que no cumplan con exactitud con el GDPR no es otro que la multa económica por no proteger los datos de sus clientes europeos adecuadamente: el castigo puede llegar a ser hasta del 4% del volumen de negocio mundial (o 20 millones de euros).

En definitiva, lo mejor que puede hacer cualquier empresa europea es comenzar a trabajar en el cumplimiento de una normativa que, aunque aún no ha entrado en vigor, lo hará dentro de poco y planteando desde el primer día no pocos escollos para todas las compañías que tengan como clientes a los ciudadanos europeos. La cuenta atrás ya ha empezado.

El equipo de NTS.

Imágenes de g4ll4is y Descrier.