La mayoría de pymes desconocen los cambios en Protección de Datos
10 de diciembre de 2017
La mayoría de pymes desconocen los cambios en Protección de Datos
El nuevo reglamento, en vigor desde mayo de 2018, impone privacidad. La infracción podría acarrear una multa de hasta 20 millones de euros.
La privacidad de la información sobre clientes y empleados es un factor que las empresas han de cuidar para asegurar la confianza y evitar ataques informáticos que puedan secuestrar o filtrar esa información. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la necesidad de mantener la privacidad se convertirá en una obligación y cualquier infracción podría ser multada con hasta 20 millones de euros o el 4% de la facturación anual del negocio.
Pero la realidad revela que estas sanciones no son suficientes para promover la adaptación, ya que un 70% de compañías europeas asegura que no logrará cumplir a tiempo con la normativa, según un informe de la entidad especializada en almacenamiento y procesamiento de datos NetApp Iberia.
Esta normativa también se aplica a la pequeña y mediana empresa que, ante el nuevo cambio de paradigma, se ha de adecuar con cierta rapidez a las nuevas exigencias. Entre ellas, destacan la obligación de informar sobre posibles infracciones o ataques y el nombramiento de un delegado de protección de datos en aquellas compañías que manejen datos sensibles o bases de información periódicas.
Desconocimiento
El principal problema que está teniendo el proceso de adaptación es que "en general, las pymes no conocen la norma, ni siquiera que hay un reglamento, porque hay muy poca divulgación. Casi ningún foro le está dando la importancia que tiene, entonces no llega a los empresarios ni a la pyme", explica Manuel Cazorla, director general de la consultora informática Sistel. Como consecuencia, "no son conscientes de que esta situación les influye", considera Ramón de Cózar, director de innovación de la empresa de soluciones tecnológicas, Prodware España. A pesar de ello, añade que "si las pymes se ponen ya en marcha y son ágiles, todavía es posible la adaptación".
En este sentido, las pequeñas empresas que sí han comenzado a cumplir las exigencias "están teniendo problemas porque es una normativa muy nueva y no están necesariamente preparadas. Por otra parte, están buscando ayuda externa, pero hay muy poca gente con los conocimientos necesarios para atender estas necesidades", analiza Sheila FitzPatrick, experta en gobernanza global de datos y directora de privacidad en NetApp Iberia. Al hilo de lo anterior, según Rafael García, responsable del Área Internacional de la Agencia Española de Protección de Datos (AGPD), "es un error que la pyme perciba que la protección de datos no es una de sus prioridades".
Programa de seguridad
El primer paso hacia la adaptación al reglamento "no es comprar herramientas o tecnología, sino que se ha de estudiar cuál es el programa de seguridad de la compañía, qué marco está preparado desde el punto de vista del cumplimiento, cuál es la política y procedimientos de protección de datos, así como asegurar que se tienen acuerdos sobre el tema y las notificaciones en orden", "es necesario comenzar construyendo la infraestructura alrededor de la protección de datos y construir un programa de privacidad acorde".
Para e experto también es importante "tener un registro del tratamiento de las actividades y medidas preventivas para que no ocurra un ataque". Para el director de innovación de Prodware España, las pymes "han de conocer qué datos manejan, en qué sistemas, quién tiene acceso a ellos y para qué se utilizan".
De cara a las exigencias del reglamento, destaca la obligación de notificar cualquier tipo de ataque que vulnere la protección de datos de una empresa. En este sentido, FitzPatrick indica que "va a forzar a las empresas a observar cómo utilizan los datos, entonces cualquier empresa que sufra una fuga de datos deberá ser muy transparente con ese error".
En el caso de España, "tiene unos ratios de seguridad mejores que otros países de nuestro entorno. Pero eso no significa que tengamos menos ataques, sino que no se publicita que se han tenido. El tener que notificarlos afecta más, no tanto por el impacto económico, sino por el impacto reputacional ante la opinión pública".