RGPD: la mayoría de las empresas no están preparadas

RGPD: la mayoría de las empresas no están preparadas

25/05/2018 0 Por World of Data

Hoy entra en vigor el nuevo Reglamento General de Protección de Datos ( RGPD ). Pero, ¿se habrán preparado a tiempo las empresas españolas?
Para comprender mejor el grado de cumplimiento de las organizaciones nacionales, hablamos con João Oliveira, Principal Business Manager en Data Management de SAS Western Europe y experto en Gestión de Datos. Las respuestas son claras.

 

World of Data (WoD): El RGPD entra hoy oficialmente en vigor. ¿Cuál es el análisis de la situación en España? ¿Logrará la mayoría de las empresas cumplir la ley?
João Oliveira (JO): La situación en España parece ser la de «esperar a ver» porque la transposición de la directiva europea de protección de datos para la legislación española ha generado un marco legal muy estricto que es casi un paralelo al RGPD. Así, las empresas multinacionales desarrollaron procesos de auditoria y evaluación con el fin de identificar las lagunas en la ley (el RGPD es una ley europea), en particular y en lo referente a la parte legal y de procedimiento (que es ya, de por sí, muy similar), por lo que están haciendo lo necesario para cumplir los requisitos. Creo que la mayoría de las empresas, al igual que las organizaciones gubernamentales, no logrará cumplir en la totalidad el ejercicio de derecho del interesado en lo que contempla la ley. En particular, el derecho a ser informado sobre toda la información personal retenida; el derecho de acceso a dicha información y a su rectificación; el derecho de limitación del uso de sus datos personales en tratamientos automáticos y de perfilado; y el derecho al olvido, con la supresión de los datos personales… Esto porque además de lograr ejecutar el ejercicio de derechos dentro de los plazos establecidos por la ley, tiene que facilitar evidencias de que, en efecto, se ha realizado y que se extiende más allá de los aspectos legales.

 

WOD: ¿Hay algún sector que esté en una circunstancia más problemática? ¿Por qué?
JO: En mi opinión, hay algunos sectores que están más preparados para el RGPD, que son además, los sectores más regulados porque están ya de alguna forma familiarizados en procesos similares. Sin embargo, hay algunas áreas particulares de la ley que hacen con que algunos procedimientos tengan de ser re diseñados o creados.

En particular, los más problemáticos serían:

  • Mercado minorista: puesto que recoge una gran cantidad de datos personales que utilizan para distintos propósitos, donde se incluye la venta a otras empresas.
  • Sector hotelero y de viajes: obtiene y retiene información sensible que puede ser y ha sido objeto de ataques de robo de identidad personal y bancaria.
  • Call centres: al hacer tratamiento de datos de terceros, tendrán que certificar que pueden hacer uso de dichos datos para ese fin y para ese contexto. Asimismo, deberán garantizar que la fuente de suministro de datos tiene el consentimiento necesario para su tratamiento. En el caso que los individuos rechacen el tratamiento, los call centres deberán estar capacitados para hacer cumplir el ejercicio de derecho
  • Organizaciones gubernamentales: son, quizá, las entidades que poseen más datos personales y que más los intercambian/comparten. Es cierto que hay excepciones para entidades públicas, como la Agencia Tributaria, las fuerzas de seguridad y la justicia, ante las cuales los ciudadanos no pueden ejercer algunos de los derechos – como el derecho al olvido y supresión de datos –. Sin embargo, hay otras que se someten a las mismas normas que las entidades privadas, como educación, que posee datos muy sensibles – ya sean sociales/sociológicos, demográficos, económicos,… – de menores y de su núcleo familiar.
  • Existe, además, el caso de los proveedores de asistencia sanitaria y de medios de diagnóstico, que comparten datos personales muy sensibles y que, por ello, tendrán que garantizar que los mismos serán solo accedidos por quien lo haya autorizado y no serán compartidos sin que el ciudadano sepa con quién y con qué fin…

 

WoD:¿ De dónde provienen las dificultades que afectan las empresas españolas?
JO: La raíz de los problemas de las empresas con respecto al RGPD se debe, en gran parte, a cómo los procesos de negocio funcionan y son gobernados, a la ausencia de un gobierno de datos eficaz (si es que existe alguno), y a la proliferación de fuentes y repositorios de datos que, por ello, quedan fuera de control. Si las organizaciones no saben qué datos personales poseen, ni donde están, quien les accede y porqué, con quien se comparten y con qué finalidad, cómo se utilizan estos datos personales en procesos de negocio, entre otros, entonces no están capacitadas para cumplir las requisitos del RGPD en lo que concierne al ejercicio de derechos de los ciudadanos, ni para informar a las autoridades – nacionales o extranjeras.

 

WoD: En base a su experiencia internacional, ¿cree que las dificultades de las empresas españolas, y su situación actual, están en línea con los demás países europeos?
JO: La realidad en España, al igual que en otros países, es que cada autoridad nacional de protección de datos empezó a trabajar previamente en el RGPD y a asesorar a las organizaciones, incluso adquiriendo medidas preventivas, con el fin de sensibilizar las organizaciones para lo que hoy entra en vigor.  Es necesario recordar que la Autoridad Europea de Protección de Datos tiene el poder de actuar sobre cualquier Estado miembro, cuando la autoridad del Estado miembro no actúa, o por recurso del ciudadano.

Es importante subrayar que los casos que hayan sido objeto de multas (varían desde 20 millones al 4% del volumen de negocios global, lo que resulte mayor) en otros Estados Miembros – como la violación de datos -, pueden servir de modelo para casos similares ocurridos en otro Estado Miembro.

 

WoD: El RGPD es más que una normativa que supervisa la protección de datos personales de los consumidores. También afecta a los funcionarios de empresas. ¿Están las empresas preparadas para esto?
JO: Los funcionarios, ya sean fijos o temporales, son también ciudadanos que viven en territorio europeo, por consiguiente el RGPD se aplica en su totalidad. Creo que las empresas no le han dado, y siguen sin dar, mucha atención a este aspecto. Es decir, hay mucho por hacer respecto a los métodos de recogida, tratamiento, retención e intercambio de datos personales, ya sea desde la recopilación de currículos, hasta el momento en que el funcionario deja la empresa. Todos los derechos del interesado que se han mencionado, se aplican en igual medida a los datos de los candidatos y de los funcionarios.

 

WoD: ¿Cómo relacionar el RGPD con el nuevo mundo de datos?
JO: En realidad, el RGPD trae muchas oportunidades en este período de proliferación de datos. Quien logre poner en marcha procesos de negocio que garanticen la seguridad, privacidad y protección de datos personales, ganará, seguro, cuota de mercado y mayor satisfacción por parte de sus clientes. La garantía dada será, en todo momento, examinada por los ciudadanos y por la competencia. En el mundo del Internet of Things, la seguridad de la información gana especial relevancia. Pero la mayor responsabilidad está en nuestras manos, en nosotros, los ciudadanos, que debemos ser conscientes de los datos que exponemos, a quién, qué datos y para qué fin… No confiamos la llave de casa o las tarjetas de crédito/débito y sus códigos a cualquiera…. ¡Pues esto, es lo mismo!. ¡Ah!, y no nos olvidemos tampoco de los mecanismos de protección que utilizamos cuando nos conectamos online

 

João Oliveira
Principal Business Solutions Manager,
Data Management SAS Western Europe