La mayoría de las compañías no tienen hechos los deberes del RGPD

El próximo viernes entrará en vigor el nuevo Reglamento General de Protección de Datos o RGPD. Esta nueva regulación europea cambiará por completo las reglas del juego en cuanto a la utilización de datos personales para las empresas que desarrollen su actividad en territorio europeo. El plazo se está acabando y muy pocos van a cumplirlo, ni en España ni en el resto de países.

«Muy pocas compañías van a cumplir la nueva regulación al 100% el próximo 25 de mayo», ha expresado Jason Straight, abogado y chief privacy officer de Uited Lex, una compañía que establece programas de cumplimiento del RGPD para las empresas, según TheVerge.com. «Las compañías, especialmente las originarias de Estados Unidos, han apretado durante el último mes para intentar prepararse».

En este mismo sentido, una encuesta realizada por Ponemon Institute en abril mostró que la mitad de las compañías no cumplirían para la fecha de entrada en vigor. En el sector de la tecnología, el porcentaje se elevaba hasta el 60%. Según Alison Cool, profesora de antropología y ciencias de la información en la Universidad de Colorado, el nuevo reglamento es demasiado complejo e incomprensible para que el cumplimiento absoluto sea realmente posible.

«No te voy a engañar. La mayoría de nuestras empresas clientes aún no nos han devuelto firmado el nuevo contrato de tratamiento de datos que exige la ley. Y la razón es que ni ellos mismos saben qué tienen que hacer. No llegamos ni de broma a cumplir el RGPD este viernes», ha señalado a ElConfidencial.com el responsable de desarrollo de negocio de una pequeña firma de Madrid que gestiona campañas de SMS.

El documento que debe recoger todas las medidas de seguridad para asegurar la integridad de los datos personales de los clientes ni siquiera ha sido redactado por una gran parte de las compañías, afirma.

Durante mucho tiempo, las compañías han trabajado bajo el dogma «extrae todos los datos que sean posibles, que de algo servirán antes o después». Pero ahora el RGPD les está obligando a reestructurarlos y a cambiar por completo la aplicación de dicha frase.

Hace un año, el 61% de las compañías no había comenzado la implementación del RGPD. Parece que todo se ha hecho con prisas y en el último minuto, y esto nunca trae nada bueno. «Está siendo un caos en casi todas las empresas. Y es incomprensible. El RGPD se aprobó hace dos años, pero todo el mundo ha dejado para el último momento adaptarse a las reglas. Ahora ya no les dará tiempo», afirma Pablo Burgueño, socio del bufete de abogados Abanlex.

Y, ¿hasta qué punto son lógicos todos los correos que han llegado, como una avalancha, a las bandejas de correo de los consumidores? Según Burgueño, se trata de un absurdo. «El RGPD no ha cambiado nada en ese sentido. Los consentimientos para enviar comunicaciones previos al 25 de mayo se han tenido que haber obtenido con permiso expreso en base a la LOPD. Las empresas que han enviado ahora esos emails, o ya estaban haciendo algo ilegal o simplemente no se enteran«. Unos correos a los que responden menos del 20% de los usuarios.

«Empresas como El Corte Inglés o Renfe tendrán que borrar el 80% de los datos de clientes. De no hacerlo, estarían incurriendo en una infracción grave. Dicho de otra forma: se acaban de disparar en el pie, cargándose su propia base de datos de clientes», añade.

Una de las cuestiones contempladas en la nueva regulación es la necesidad de notificar a la autoridad de protección de datos y, en algunos casos, al cliente cuando se produce una brecha de seguridad. Pero lo preocupante es que muchas compañías ni siquiera están preparadas para detectarlas.

Otra cuestión compleja es la obligatoriedad de incorporar una nueva figura dentro de la organización, encargada de velar por el cumplimiento del RGPD: el delegado de protección de datos o DPO. Tendrán que contar con esta figura, según el artículo 37, todas las empresas que gestionen datos a «gran escala», así como aquellas que traten datos sobre el origen étnico o racial, las opiniones políticas, las convicciones religiosas, el tratamiento de datos genéticos y biométricos, datos relativos a la salud y a la vida sexual u orientación sexual.

Pero, ¿qué es exactamente «manejar datos a gran escala»? Según Samuel Parra, abogado especializado en internet y tecnología, su interpretación podría traer de cabeza a varias compañías.

Todo ello es especialmente preocupante teniendo en cuenta las abultadas sanciones a las que las empresas que no cumplan se pueden enfrentar, que pueden llegar hasta un 4% de la facturación global. En este sentido, el 4% de la facturación global de Amazon podría llegar hasta los 7.000 millones de dólares.

«Las compañías grandes son de hecho las que peor lo tienen. En su caso hablamos de una adecuación previa que lleva meses de trabajo y muchas acaban de empezar. En cuanto a los organismos públicos, algunos acaban de sacar ahora licitaciones para ayudarles a adecuarse al reglamento», expresa Parra, que afirma que más del 90% de las compañías españolas no van a cumplir a tiempo.