El primer año de la entrada en vigor del Reglamento General de la Protección de Datos (GDPR en sus siglas en inglés) “ha resultado positivo, si bien es cierto que queda un largo camino, ya que no está suficientemente implantado entre el tejido empresarial español”, ha explicado Israel Llavata, consultor de Gobierno Información y Cumplimiento Normativo de Sothis.
Según el consultor especializado experto de la compañía tecnológica, que ha realizado un balance de este primer aniversario, el 63% de las pymes conoce el reglamento, tal y como señala un informe elaborado el año pasado por la Agencia Española de Protección de Datos (AEPD) en colaboración la Confederación Española de la Pequeña y Mediana Empresa (CEPYME). “Es decir – ha continuado- 4 de cada 10 empresas no conoce la GDPR, por lo que debemos incidir en una mayor concienciación y formación para que la aplicación de la ley llegue al 100% de las organizaciones, aunque suene utópico”.
Desde el departamento de Gobierno de Seguridad de la Información (GSI), en la que participan ingenieros informáticos expertos en seguridad de la información y perfiles jurídicos como el de Llavata, han desarrollado los trabajos oportunos para ofrecer los servicios de adecuación y cumplimiento del reglamento europeo, así como otros relacionados con la seguridad de la información.
En este sentido, el 80% de los clientes y trabajos que desarrolla el departamento de GSI están relacionados con la adecuación de las organizaciones al GDPR, servicios de Delegado de Protección de Datos (DPD), adecuación a las nuevas exigencias de normativa nacional de protección de datos, seguridad de la información, mantenimiento de los servicios, etc.
“El interés de las compañías en cumplir con la norma también se refleja en otros aspectos. Así, la AEDP ha recibido más de 4.600 consultas en la plataforma INFORMA_RGPD desde su puesta en funcionamiento el año pasado. Este soporte para tratar dudas y consultas derivadas de la aplicación de la GDPR, y su herramienta FACILITA, ha sido utilizada en más de 170.000 ocasiones”.
Cambio de paradigma
Uno de los puntos más destacados de este primer año de la GDPR es el cambio de paradigma que ha supuesto la obtención del consentimiento. “Antes solo hacia falta un consentimiento tácito del usuario para el tratamiento de los datos para determinadas finalidades y ahora debe existir unamanifestación de voluntad libre, inequívoca e informada”, ha indicado el también abogado especializado esta materia, quien ha añadido que, además, las empresas han invertido en los medios necesarios, tanto técnicos como humanos: “Las organizaciones han contratado a técnicos de seguridad de la información para que incorporen las medidas de seguridad correspondientes, así como la figura del DPD, la persona encargada de supervisar el cumplimiento de la normativa en materia de protección de datos. Se trata de un esfuerzo extra que deben asumir, pero es más bien una inversión, que repercutirá en positivo en el futuro para hacerlas más competitivas”.
En este sentido, otro de los cambios acontecidos este año ha sido cómo las páginas web de las propias empresas se han adecuado para cumplir con el deber de información y la obtención del consentimiento del usuario.
Para Llavata, de esta manera, “se puede comprobar de puertas para fuera si una compañía sigue la normativa o al menos si existe intención de llevarla a cabo. Además de esto, entre otras cosas, el principio de responsabilidad proactiva que rige el reglamento conlleva que todas las medidas de control y todos los procedimientos implantados para efectuar la GDPR sean revisados y actualizados de manera constante. Así, el cumplimiento no se basa en un hecho puntual, sino en una labor constante”. De hecho, en diciembre del año pasado entró en vigor la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales que, actualmente, convive con la GDPR.
En definitiva, Israel Llavata ha concluido que la celebración de este primer aniversario de la GDPR “no se hace por el objetivo conseguido, ya que aún queda un elevado número de empresas por adecuarse; pero sí ha supuesto una mayor concienciación de las compañías que tratan datos personales y una mayor sensibilización por parte de los usuarios”.