Situació, diagnòstic i eines per a la millora.
El passat 25 de maig de 2018 va entrar en vigor el nou reglament en matèria de protecció de dades (RGPD), però encara hi ha poca informació referent a què estan fent les empreses, especialment les petites i mitjanes, per adequar-se a les exigències que el nou canvi de paradigma demanda i protegir-se davant les dures sancions que l’incompliment del nou reglament pot implicar.
Algunes preguntes sorgeixen sobre aquest tema: coneixen les empreses els canvis que han de dur a terme? Coneixen els recursos que s’ofereixen des de l’administració pública per avaluar el risc i els procediments? Aquestes qüestions són d’especial rellevància, ja que les PIMES compten amb menys recursos que les grans empreses per fer front a les seves obligacions en matèria de protecció de dades.
A data d’avui, donada la recent implantació del nou reglament, encara no hi ha estudis concloents que permetin conèixer els dèficits i les desviacions, les àrees consolidades i les accions de millora. De moment, l’únic estudi realitzat és una enquesta d’àmbit nacional, per part de l’Agència Espanyola de Protecció de Dades, a un total de 1.106 empreses, “Grau de preparació de les empreses espanyoles davant el reglament general de protecció de dades. Informe executiu 1”, que posa de manifest la bona disposició de les empreses per conèixer i estar informades respecte de les seves obligacions, però alhora revela que s’han dut a terme poques accions per donar compliment a les noves exigències.
En aquest estudi s’evidencia que vuit de cada deu empreses enquestades valoren positivament la protecció de dades, nou de cada deu estan d’acord que les dades són importants i que cal protegir-les, ja que consideren que tenen valor per al seu negoci (62%), i també nou de cada deu consideren millor el nou reglament que l’anterior normativa. Però compte, perquè quatre de cada deu empreses no coneixen les innovacions del nou reglament i així i tot, consideren que és millor que l’anterior normativa. També crida l’atenció que només una de cada quatre empreses consultades fa ús, per exemple, de la web de l’AEPD, en la qual s’ofereixen documents i eines per fer front als requeriments.
Això és especialment rellevant ja que les empreses que no valoren i no coneixen la normativa no es poden adaptar a les noves exigències, a banda del fet que les potencials sancions podrien posar en risc la pròpia activitat. No obstant això, les que coneixen la normativa i els riscos que incomplir-la implicaria, són sensibles a la contractació de serveis externs de consultoria i assessorament en matèria de protecció de dades (80%).
Per facilitar l’autoavaluació de les empreses i el grau d’adequació al canvi de paradigma propi del RGPD, l’AEPD proporciona FACILITA, una eina fàcil i gratuïta (en la qual les dades aportades durant el seu desenvolupament s’eliminen, per la qual cosa l’Agència Espanyola de Protecció de Dades en cap cas pot conèixer la informació facilitada) que permet a qualsevol empresa o professional saber si s’adapta als requisits exigits per a dades personals d’escàs risc com, per exemple, dades personals de clients, proveïdors o recursos humans, o si ha de realitzar una anàlisi de riscos.
D’altra banda, l’Autoritat Catalana de Protecció de Dades no ofereix fins ara dades d’adequació a la nova normativa, però sí la possibilitat de fer consultes prèvies en relació a procediments que incloguin un alt risc, o d’aclarir dubtes en relació amb l’aplicació de la normativa de protecció de dades, a través de la seva seu electrònica.
En conclusió, encara hi ha un camí per recórrer perquè les empreses, especialment les micro, petites i mitjanes empreses, tinguin un grau elevat de compliment de les noves exigències del RGPD i aquí s’obren vies també per a la formació en matèria preventiva, l’assessorament i consultories, el desenvolupament d’eines informàtiques i la realització d’estudis que puguin oferir un diagnòstic de compliment i adequació.