Es noticia
Caos entre las empresas españolas para cumplir el GDPR: "No llegamos ni de broma"
  1. Tecnología
Las sanciones por incumplir el GDPR pueden llegar a €20 millones

Caos entre las empresas españolas para cumplir el GDPR: "No llegamos ni de broma"

"Se estima que más del 90% de empresas de españa no va a cumplir con el reglamento cuando entre en vigor el viernes. Es un desastre"

Foto:

Spam, páginas web desactualizadas, contratos de gestión de datos sin firmar... son solo algunas de las pesadillas a las que se enfrentan las empresas en España para intentar cumplir el nuevo reglamento europeo de protección de datos que entrará en vigor como un rodillo este viernes 25. Se trata del ya famoso Reglamento General de Protección de Datos (RGPD, o GDPR, en sus siglas en inglés que muchos ya recitan de memoria). Y hay malas noticias: la gran mayoría de compañías de nuestro país no va a llegar a tiempo para cumplirlo. La situación a dos días de terminarse el plazo es tan caótica que solo hay algo que puede dar por seguro: sus datos personales están ahora mismo siendo (mal)tratados por miles de empresas españolas.

[Más información: Instapaper no está sola: estas son las webs que han echado el cierre por la GDPR-RGPD]

"No te voy a engañar. La mayoría de nuestras empresas clientes aún no nos han devuelto firmado el nuevo contrato de tratamiento de datos que exige la ley. Y la razón es que ni ellos mismos saben qué tienen que hacer. No llegamos ni de broma a cumplir el GDPR este viernes". La confesión es de un responsable de desarrollo de negocio en una pequeña firma madrileña (ocho empleados) que se dedica a gestionar campañas de SMS para sus clientes. Y el contrato al que se refiere es uno de los nuevos requerimientos a los que obliga el GDPR: un contrato entre el responsable de tratamiento de datos dentro de una empresa (por ejemplo, un banco o una operadora) y el encargado de realizar dicho tratamiento, es decir, proveedores de servicios de almacenamiento, hosting, empresas de marketing online, gestores contables...

Foto: Protesta contra facebook en londres (Foto: Reuters)

"Todas las empresas tienen que tener ese contrato formalizado el viernes. Y es imposible que eso ocurra. La mayoría ni siquiera ha empezado y es un documento que debe especificar todas las medidas de seguridad de tipo físico (servidores...), organizativo (quién hace qué) y lógico (cifrado, firewalls, datos biométricos...) que se toman para asegurar la integridad de los datos personales de clientes", explica Pablo Burgueño, socio del bufete de abogados Abanlex. "Está siendo un caos en casi todas las empresas. Y es incomprensible. El GDPR se aprobó hace dos años pero todo el mundo ha dejado para el último momento adaptarse a las reglas. Ahora ya no les dará tiempo".

placeholder Manual de GDPR para Homer
Manual de GDPR para Homer

Una prueba del desconcierto y el caos que se vive en el seno de muchas organizaciones es la avalancha de emails que usted habrá recibido en su correo estos días. Renfe, Grupo Vips, El Corte Inglés... Cientos de empresas, grandes y pequeñas, han enviado un mensaje a toda su base de clientes pidiéndoles permiso para seguir usando sus datos. "El GDPR no ha cambiado nada en ese sentido. Los consentimientos para enviar comunicaciones previos al 25 de mayo se han tenido que haber obtenido con permiso expreso según la LOPD. Las empresas que han enviado ahora esos emails, o ya estaban haciendo algo ilegal o simplemente no se enteran", señala Burgueño.

Es solo uno de los fallos que está generando la paranoia en torno al GDPR. Y es un fallo grave. En el mejor de los casos, solo un 20% de usuarios responde a estas emails corporativos. La Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico es muy clara en este punto: la empresa necesita consentimiento expreso de los usuarios para comunicarse con ellos por vía electrónica. "Esa norma sigue en vigor, el GDPR no cambia nada al respecto. Es decir, empresas como El Corte Inglés o Renfe que hayan hecho una interpretación incorrecta del reglamento podrían llegar a borrar más del 80% de los datos de clientes creyendo que no pueden escribirles. Se estarían cargando su propia base de datos de clientes sin que nadie les obligue a ello", dice Burgueño.

placeholder Facebook es una de las empresas más afectadas por el GDPR. (Reuters)
Facebook es una de las empresas más afectadas por el GDPR. (Reuters)

Otro de los puntos que más problemas está causando el GDPR a las compañías españolas es la necesidad de incorporar o no al llamado delegado de protección de datos (DPO). Se trata de una nueva figura dentro de la organización que se encargará de velar por el cumplimiento del reglamento. ¿Quién debe contratar un DPO? Lo explica el artículo 37 de la nueva normativa: todos los organismos públicos, empresas que gestionen datos a "gran escala", y aquellas que traten datos personales que "revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, el tratamiento de datos genéticos y biométricos, datos relativos a la salud y datos relativos a la vida sexual o las orientación sexuales de una persona física".

Más del 90% de empresas españolas no va a cumplir con el reglamento cuando entre en vigor el viernes. Es un desastre

Para el abogado Samuel Parra, especializado en internet y tecnología, la redacción de este artículo va a traer muchos problemas a miles de empresas. "¿Qué significa 'gestionar datos gran escala'? ¿Un millón de datos? ¿Dos millones? No se especifica por ningún lado. ¿Y hacer 'tratamiento de datos'? ¿Lo es almacenarlos? ¿Cruzarlos con otros datos? Tampoco se dice absolutamente nada. Esto abre la puerta a numerosas sanciones", señala.

Las sanciones en caso de incumplimiento del GDPR pueden dejar fuera de juego a cualquier 'pyme'. Las multas pueden llegar al 4% de la facturación anual, con un tope de 20 millones de euros. "Yo calculo que más del 90% de empresas españolas no va a cumplir con el reglamento cuando entre en vigor el viernes. Es un desastre", explica Parra. "Las compañías grandes son de hecho las que peor lo tienen. En su caso hablamos de una adecuación previa que lleva meses de trabajo y muchas acaban de empezar. En cuanto a los organismos públicos, algunos acaban de sacar ahora licitaciones para ayudarles a adecuarse al reglamento. Imagínate".

Spam, páginas web desactualizadas, contratos de gestión de datos sin firmar... son solo algunas de las pesadillas a las que se enfrentan las empresas en España para intentar cumplir el nuevo reglamento europeo de protección de datos que entrará en vigor como un rodillo este viernes 25. Se trata del ya famoso Reglamento General de Protección de Datos (RGPD, o GDPR, en sus siglas en inglés que muchos ya recitan de memoria). Y hay malas noticias: la gran mayoría de compañías de nuestro país no va a llegar a tiempo para cumplirlo. La situación a dos días de terminarse el plazo es tan caótica que solo hay algo que puede dar por seguro: sus datos personales están ahora mismo siendo (mal)tratados por miles de empresas españolas.

El redactor recomienda