Inicio / Entrada de Blog / ¿Por qué las empresas españolas no están cumpliendo el RGPD? Por (*) Daniel Ramil

¿Por qué las empresas españolas no están cumpliendo el RGPD? Por (*) Daniel Ramil

¿Por qué las empresas españolas no están cumpliendo el RGPD? Por (*) Daniel Ramil

A pesar de llevar casi 20 años en el siglo XXI, todavía seguimos teniendo el hábito poco saludable de cumplir con las reglas del juego una vez que nos han tocado el bolsillo. Y no lo digo yo, que conste. En el caso del Reglamento Europeo de Protección de Datos (RGPD), han sido la Agencia Española de Protección de Datos y CEPYME quienes, hace poco tiempo, alertaron en un informe del bajo cumplimiento de las empresas españolas del nuevo marco europeo. El principal motivo es el desconocimiento de la norma. Según este informe, sólo el 63% de las pymes saben en qué consisten las nuevas reglas del juego.


Los errores más habituales son, por este orden, el uso de formularios incorrectos para recabar datos y consentimiento; comunicaciones electrónicas de carácter comercial a personas con un consentimiento anterior no válido desde la perspectiva del RGPD y no disponer de contratos o documentos jurídicamente vinculantes con sus encargados de tratamiento.


Con este panorama, la principal conclusión que podemos obtener es que, si las empresas no se ponen las pilas ya, es probable que antes de finalizar el año se lleven una sorpresa desagradable. El responsable del European Data Protection, Giovanni Buttarelli, afirmó que antes de finalizar 2018 se procederá con las primeras sanciones y amonestaciones por incumplimiento, cuyas cuantías pueden ascender hasta los 20.000.000 de euros o al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.


Aunque, estas sanciones es muy probable que tarden en llegar antes incluso de lo que alerta Buttarelli. Sin ir más lejos, el pasado 11 de octubre, la Comisión Nacional de Protección de Datos de Portugal (CNPD) sancionó al centro hospitalario Barreiro-Montijo con una multa de 400.000 € porque sus políticas de acceso a la base de datos de las historias clínicas permitían, entre otras cosas, que los trabajadores del área de servicios sociales tuviesen acceso a datos a los que sólo debían acceder el personal médico. También se comprobó que el número de usuarios activos que podían consultar los datos clínicos de los pacientes era de 985, cuando en el hospital trabajan 296 médicos.


Obviamente, las sanciones van a acelerar el proceso de adecuación de las empresas ya que la intención del legislador europeo es que tengan una finalidad disuasoria. Se encuadran dentro del concepto de “punitive damage”, propio del derecho anglosajón. Este tipo de sanciones persiguen un doble objetivo. Punitivo: sancionar al transgresor de la norma por la grave conducta ocasionada y preventivo: se busca disuadir, tanto al infractor como a potenciales infractores, de futuros incumplimientos.


Desde Procesia, aconsejamos a las empresas y organizaciones que realmente estén comprometidas con cumplir correctamente con el RGPD, que enfoquen su adecuación con una doble perspectiva. Por un lado, que lleven a cabo una adecuación legal, en la que revisen los textos informativos para los interesados, los contratos con los terceros que actúen como encargados de tratamiento y el ejercicio de derechos por parte de los interesados, sin olvidar la elaboración del Registro de Actividades de Tratamiento.


Y por otra parte y no menos importante, recomendamos realizar una adecuación técnica apropiada que puede evitar muchos sustos como el que se llevó recientemente la escuela de negocios IESE con el hackeo de su web que dejó al descubierto los datos de miles de clientes o sanciones económicas, como en el caso del hospital de Portugal. La forma más recomendable de realizar esta adecuación técnica es a partir de un análisis de riesgos y de una evaluación de impacto en la protección de datos, si es necesaria, para implantar las medidas técnicas necesarias que aseguren los datos.


No obstante, la otra cara de la moneda también ofrece datos positivos. Y es que, según el estudio Finding The Missing Link in GDPR Compliance, el 51% de las empresas españolas prevé realizar cambios en sus sistemas de tratamiento de datos, el 19% contratar más personal y el 16% externalizar los servicios relacionados con el RGPD.


Está claro que todavía queda camino por recorrer en lo que a cumplimiento normativo se refiere, y que muchas empresas se van a estudiar el examen la noche de antes, pero si algo es cierto es que en España ya estamos empezando a ser conscientes de que el tratamiento de datos personales son palabras mayores y que el uso adecuado de este recurso tan preciado tiene que ser tratado con el cuidado y responsabilidad que merece.





datos




(*) Daniel Ramil es experto en Protección de Datos. Procesia.


https://www.linkedin.com/in/daniel-ramil-rodr%C3%ADguez-a81ab2a7/
(Sin votaciones)
Cargando…