Las empresas, a dos velocidades en la adaptación al nuevo Reglamento de Datos

Mientras las grandes empresas del IBEX 35 ponen a punto sus sistemas para llegar a tiempo al 25 de mayo de 2018, cuando el nuevo Reglamento de Protección de Datos (RGPD) será obligatorio en toda Europa, muchas pymes aún no saben "bien qué tienen que hacer" a menos de 8 meses de la fecha límite.

"El cumplimiento normativo en las grandes se va a hacer, pero el 99 % del tejido empresarial español son pymes. Ahí es donde va haber problemas", advierte el analista de IDC Juan García Morgado. "El nombre RGPD no es una palabra conocida en la pyme", añade.

"Claro que hay diferencias por el tamaño de las empresas", afirma el ex director general de Red.es Borja Adsuara, quien destaca que el RGPD "se hizo pensando en las grandes multinacionales de internet, no en las pymes", ya que uno de sus objetivos era "poder multar" a aquellas que cometan infracciones en materia de privacidad y para ello les obliga a tener representante en la Unión Europea.

Para el asesor de Cepyme en temas de protección de datos Julio Fernández, el sentir general entre las pymes españolas es "de miedo por las sanciones, porque van a ser muy altas", pero sobre todo "de incertidumbre", porque "todavía no saben bien qué tienen que hacer".

La norma regula el tratamiento de cualquier dato personal y las empresas gestionan a diario millones de ellos: desde nombres a datos bancarios y de consumo, perfiles de cliente e información médica, considerada más sensible. "Hasta una peluquería tiene datos de salud", de clientes con alergias al tinte, destaca Fernández.

El reglamento introduce cambios: desde mayo, por ejemplo, el consentimiento para el uso de estos datos ha de ser inequívoco y verificable, y no tácito como hasta ahora, y las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados.

La norma prevé el derecho al olvido, que permite impedir la difusión de información personal a través de internet cuando su publicación no cumpla los requisitos previstos, y a la portabilidad, por el que se puede obtener una copia de los datos personales en formato electrónico para cederlos a otra compañía.

Además, las empresas tendrán que contar con un delegado de protección de datos, algo que ya tienen solventado algunas de las grandes: en el BBVA esta figura se implantó en abril y desde el Grupo Santander confirman que tienen previsto nombrarlo "antes de fin de año".

El BBVA ha creado un equipo multidisciplinar para implementar el RGPD y sus trabajos, que se encuentran "en fase avanzada", se han planificado para cumplir con la fecha, según fuentes del grupo.

También Telefónica lleva "desde hace meses ocupándose intensamente, en diferentes grupos de trabajo, de implementar las medidas necesarias" para llegar al 25 de mayo "con los sistemas, la organización y procesos internos preparados", apuntan fuentes de la operadora.

En Iberdrola todos los equipos con implicación en la materia, como ciberseguridad o servicios jurídicos, están trabajando "para revisar y adecuar los procesos a las novedades legislativas", según fuentes de la compañía.

Frente al "progresa adecuadamente" de la gran empresa, los expertos alertan de que en pymes y microempresas no se están haciendo los deberes y se corre el riesgo de que les pille el toro.

"La complicación inicial es el entendimiento del propio proyecto, que ya no es un sistema predeterminado de cumplimiento normativo sino de autoevaluación. Las grandes multinacionales presentes en España por supuesto que lo han hecho y ya están en una fase muy avanzada de implantación", apunta el experto de EY Rodrigo González.

A juicio de Adsuara, para poder cumplir el RGPD, las pymes deberían "tener un departamento jurídico o contratar los servicios de expertos que no pueden permitirse".

Para la mayoría de ellas, añade, resulta "complicada" la guía elaborada por la Agencia Española de Protección de Datos (AEPD), una "versión light" del reglamento para facilitar su adopción.

"El RGPD es una norma de imposible cumplimiento, especialmente para las pymes, lo cual es muy preocupante", concluye el experto, para quien "España, en general, va retrasada en la adopción de medidas".

No lo ve igual la AEPD, que será al final el organismo que vigile el cumplimiento del reglamento en España y que asegura estar haciendo "todo lo posible" para facilitar la adaptación de las empresas con distintas guías y herramientas.

Para el analista de IDC, la pyme se va a poder adaptar "cuando haya soluciones paquetizadas".

El RGPD prevé millonarias multas para las organizaciones que lo incumplan, que pueden alcanzar los 20 millones de euros o hasta un 4 % de su facturación anual, la cifra de mayor cuantía.

"Para una empresa pequeña, 20 millones es mucho dinero. Para una grande, va a haber que añadir muchos ceros a esos 20 millones", dice el experto en protección de datos de Cornerstone José Rodríguez.

Para hacerse una idea, Inditex, la más capitalizada del IBEX 35, tuvo unas ventas de 23.311 millones en su último año fiscal.

"Un 4 % de las ganancias es una cantidad desorbitada", que lleva a considerar "todavía más en serio" que la adaptación al reglamento "no es algo opcional", apunta el experto de Accenture David Pérez Lázaro.

Ni este artículo, ni sus datos, ni su contenido multimedia o relacionado constituyen recomendación alguna o estrategia de inversión. Inversor Ediciones, SLU (incluyendo a sus profesionales, colaboradores y proveedores) declina cualquier responsabilidad relacionada con el uso que usted dé a los contenidos publicados por finanzas.com y/o la revista INVERSIÓN.