25 de mayo de 2018. La fecha marcada en el calendario de la Unión Europea que iba a cambiar la vida a todos los especialistas en protección de datos, empresas y usuarios (aunque no lo supieran). El Reglamento General de Protección de datos (RGDP) o GDPR por sus siglas en inglés, cumple un año. Durante estos 365 días, compañías y usuarios han tenido que adaptarse a los cambios que ha traído esta nueva normativa.

Por simplificar, cambios que aportaban más poder a esos usuarios para decidir sobre los datos personales que manejan las empresas, en definitiva: su privacidad. Y novedades también que exigen a las compañías protegerlos y cuidarlos.

El hecho de sufrir una brecha de seguridad, por ejemplo, implica que la organización debe notificarlo en las siguientes 72 horas, y deberán justificar que se hizo todo lo posible por salvaguardar esos datos. La penalización por no cumplir con las normas se traduce en una serie de sanciones, que los expertos en el tema han repetido hasta la saciedad: hasta el 4% de la facturación anual o 20 millones de euros.

Cifras que sin duda deberían haber alarmado a las empresas y ponerse las pilas aplicando el reglamento… ¿Ha sido así?

Las previsiones iniciales no eran buenas. A pesar de que las organizaciones tuvieron un periodo de dos años antes de convertirse en una norma de obligado cumplimiento en mayo de 2018, las empresas no estaban suficientemente preparadas.

Según el informe de Forrester «Predicciones para 2018: un año de recuento» se calculó que el 80% de las empresas afectadas por el GDPR no podría cumplir con la regulación en el plazo establecido, y que de ese 20%, la mitad no lo ejecutaría a nivel internacional.

El desconocimiento por parte de los usuarios de esta norma es sustancialmente mayor que el que puedan tener las empresas. La información previa fue escasa y a cuentagotas. Y la que hemos tenido durante los últimos 12 meses… aún menor.

La realidad es que para los usuarios la aplicación de GDPR se ha convertido en un misterio, y eso para los que tengan idea de su existencia. Una norma que supuestamente venía para aportar transparencia se ha vuelto opaca.

Las millonarias multas que se esperaban, si ha habido, no han trascendido, por lo menos en España. En otros países de Europa, como Austria, Alemania o Portugal, han trascendido algunas multas, una de las más importantes a un hospital portugués que fue multado con 400.000 euros por infringir la protección de datos.

La Agencia Española de Protección de Datos va dando a conocer las brechas de seguridad notificadas por las empresas españolas. En lo que va de año ha recibido 387 notificaciones de brechas de seguridad por parte de empresas españolas.

Privacidad: Las web que visitamos no cumplen

Las normas de GDPR no se aplican solamente a los datos que las compañías manejan internamente, sino a cualquier actividad de la empresa. Por supuesto, también en la página web. En este sentido, el 83% de las páginas web más visitadas cuentan con políticas de privacidad abusivas para el usuario. Así lo refleja un estudio elaborado por PrivacyCloud, que indice en que solo 14 de las 100 páginas que más visitan los españoles ha adecuado su uso de cookies al RGPD durante el año en vigor que tiene la normativa.

De hecho, el 99% de las páginas que han analizado incumplen la obligación de permitir al usuario rechazar directamente las cookies con la misma sencillez con que se aceptan, mientras que un 9% «equiparan la cesión de datos (mediante su aceptación) a un peaje de acceso», señalan desde PrivacyCloud.

El estudio también señala que el 86% de las webs analizadas incumplen los deberes de transparencia e información básica impuestos por el RGPD o, en el caso de un 63% del total, la necesidad mencionada de consentimiento expreso.

Compleja aplicación de la norma

Rompiendo una lanza en favor de las empresas, es cierto que expertos señalan que la aplicación de GDPR era (y es) complicada para las empresas.

“El Reglamento Europeo de Protección de Datos va en la buena dirección para garantizar los derechos de los usuarios, pero creo que el legislador subestimó la complejidad técnica de la implementación de la norma«, explica Alberto Pan, CTO de Denodo, señalando que en la grandes empresas todos los datos (incluyendo los personales de los usuarios) suelen estar distribuidos en muchos repositorios diferentes, tanto de forma local como en la nube, lo que complica el cumplimiento.

No cumplir con la norma no solo conlleva sanciones… El daño reputacional puede ser aún mayor

Una protección de datos insuficiente puede tener un grave impacto en las empresas, a nivel comercial y de reputación: el 56% de los consumidores abandonaría una empresa que no protege sus datos y un 47% recurriría a un competidor, según datos de un estudio de Veritas.

«En lugar de corregir los desafíos subyacentes que presenta la gestión de datos, las empresas han preferido hacer lo más sencillo para evitar problemas legales de una manera rápida», opina Ignacio de Pedro, director de preventa de Veritas Technologies España.

Para el especialista, este enfoque relajado de la protección de datos es producto de la falta de multas y sanciones en materia de GDPR para las empresas que no cumplen con la nueva regulación.  ¿La solución? Mejorar la transparencia.

De lo que no hay duda es de que este tipo de normas tienen que comenzar por aplicarse desde la base, y desde dentro de la propia compañía.

Por poner un ejemplo concreto, uno de los artículos de la compañía, en concreto el artículo 32, obliga a las empresas a cifrar los datos, como parte de du protección y ciberseguridad. Sin embargo, el 71,3% de los empleados ha perdido al menos una vez un USB con documentos de trabajo desprotegidos, según apunta Kingston, que ha realizado un estudio de estos dispositivos, llegando a la conclusión de que el 94% de las memorias USB utilizadas no cuentan con cifrado por hardware, lo que facilita el acceso a la información en caso de pérdida o robo del dispositivo.

En definitiva, aunque se cumplen 12 meses desde la entrada en vigor de la normativa, parece que aún queda por hacer, por parte de empresas (mejorando su ciberseguridad y protección de los datos) y de las instituciones, para dar a conocer más y mejor esta norma entre los usuarios que son, al fin y al cabo, los máximos interesados.

Deja un comentario