Situación, diagnóstico y herramientas para la mejora.
El pasado 25 de mayo de 2018 entró en vigor el nuevo reglamento en materia de protección de datos (RGPD), pero aún hay poca información al respecto a qué están haciendo las empresas, especialmente las pequeñas y medianas, para adecuarse a las exigencias que el nuevo cambio de paradigma demanda y protegerse ante las duras sanciones que su incumplimiento puede acarrear.
Algunas preguntas surgen al respecto: ¿conocen las empresas los cambios que deben llevar a cabo? ¿Conocen los recursos que se ofrecen desde la administración pública para evaluar el riesgo y los procedimientos? Estas cuestiones son de especial relevancia, ya que las PYMES cuentan con menos recursos que las grandes empresas para hacer frente a sus obligaciones en materia de protección de datos.
A fecha de hoy, dada la reciente implantación del nuevo reglamento, todavía no hay estudios concluyentes que permitan conocer los déficits y las desviaciones, las áreas consolidadas y acciones de mejora. Por el momento, el único estudio realizado es una encuesta de ámbito nacional, por parte de la Agencia Española de Protección de Datos, a un total de 1.106 empresas, “Grado de preparación de las empresas españolas ante el reglamento general de protección de datos. Informe ejecutivo1”, que pone de manifiesto la buena disposición de las empresas para conocer y estar informadas respecto de sus obligaciones, pero al mismo tiempo revela que se han llevado a cabo pocas acciones para dar cumplimiento a las nuevas exigencias.
En este estudio se pone de relieve que ocho de cada diez empresas encuestadas valoran positivamente la protección de datos, nueve de cada diez están de acuerdo en que los datos son importantes y que hay que protegerlos, pues consideran que tienen valor para su negocio (62%), y también nueve de cada diez consideran mejor el nuevo reglamento que la anterior normativa; pero ojo, porque cuatro de cada diez empresas no conocen las innovaciones del nuevo reglamento y, aun así, consideran que es mejor que la anterior normativa. También es llamativo que solo una de cada cuatro empresas consultadas consulta, por ejemplo, de la web de la AEPD, en la que se ofrecen documentos y herramientas para hacer frente a los requerimientos.
Esto es especialmente relevante ya que las empresas que no valoran y no conocen la normativa, no se pueden adaptar a las nuevas exigencias, además de que las potenciales sanciones podrían poner en riesgo la propia actividad. Sin embargo, las que sí conocen la normativa y los riesgos que incumplirla acarrearía, son sensibles a la contratación de servicios externos de consultoría y asesoramiento en materia de protección de datos (80%).
Para facilitar la autoevaluación de las empresas y el grado de adecuación al cambio de paradigma propio del RGPD, la AEPD proporciona FACILITA, una herramienta fácil y gratuita (en la que los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información facilitada) que permite a cualquier empresa o profesional saber si se adapta a los requisitos exigidos para datos personales de escaso riesgo, como, por ejemplo, datos personales de clientes, proveedores o recursos humanos, o si debe realizarse un análisis de riesgos.
Por otro lado, la Autoridad Catalana de Protección de Datos, no ofrece hasta el momento datos de adecuación a la nueva normativa, pero sí la posibilidad de realizar consultas previas en relación con procedimientos que incluyan un alto riesgo, o de aclarar dudas sobre la aplicación de la normativa de protección de datos, a través de su sede electrónica.
En conclusión, queda todavía un camino por recorrer para que las empresas, especialmente las micro, pequeñas y medianas empresas, estén en la senda de un alto cumplimiento con las nuevas exigencias del RGPD y ahí se abren también vías para la formación en materia preventiva, el asesoramiento y consultorías, el desarrollo de herramientas informáticas y la realización de estudios que puedan ofrecer un diagnóstico de cumplimiento y adecuación.