A fondo: No, las empresas españolas no están preparadas para el RGPD
A menos de un año para que comience a aplicarse el Reglamento General de Protección de Datos europeo, analizamos en qué punto se encuentran las organizaciones y qué tienen que hacer para cumplir con sus nuevas obligaciones.
La cuenta atrás ya comenzó. En menos de un año, el nuevo Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento para las empresas que operan en la Unión Europea. Entre ellas, las empresas españolas. Las nuevas normas sobre protección de datos entraron en vigor el 25 de mayo 2016, aunque en la práctica no comenzarán a aplicarse hasta el 25 de mayo de 2018. Había margen para prepararse, pero ahora mismo el tiempo corre en contra de quienes necesitan aplicar cambios para cumplir con la regulación y no lo han hecho todavía. Se ha consumido un año del plazo contemplado para la adopción del Reglamento y la sensación que impera es que las organizaciones no han avanzado todo lo que deberían.
“Sin duda, las empresas españolas no están preparadas”, confirma Sonia Martín, directora de Servicios Profesionales de Seguridad de Secure&IT y experta en Compliance TIC, al analizar el estado de las organizaciones en España. “Aún queda mucho por hacer”.
Y eso que la Agencia Española de Protección de Datos (AEPD) “está haciendo una muy buena labor de difusión: ha puesto a disposición pública, a través de su web, varias guías para que el RGPD sea un poco más accesible y fácil de entender para el público. Incluye una guía sobre las novedades que introduce y una guía específica para responsables de los tratamientos de datos personales”, apunta Martín. La Agencia aporta guías, entrega directrices y ofrece orientaciones. También responde dudas frecuentes. La labor de concienciación se ha convertido, de hecho, en uno de los ejes de actuación básicos de la AEPD para este 2017 que está a punto de encarar su segundo semestre.
“El gran tejido de las pymes en España nos hace pensar que aún queda mucho por recorrer en este sentido y que hay un gran número de empresas que no son del todo conscientes de la dimensión de esta nueva normativa”, aprecia, al igual que lo hace Sonia Martín, la directora general de Panda Security España, Rosa Díaz Moles. Si bien “cada caso es diferente y debe ser tratado en consecuencia”, matiza esta ejecutiva. “Habrá muchos que ya lo estén haciendo conforme a la nueva normativa o que tengan que introducir muy pocas modificaciones” a su proceder habitual. “Otros tantos”, mientras tanto, “necesitarán reestructurar su manera de gestionarlos”.
“En cualquier caso, nuestro consejo desde Panda Security es que para garantizar que se cumple la nueva ley y que la transición se hace de la manera más eficiente se dejen asesorar por un experto”, determina Díaz Moles. Sonia Martín coincide con ella en que “lo más recomendable a la hora de adaptar una empresa al nuevo Reglamento es contar con especialistas en la materia, no sólo del ámbito jurídico, sino también expertos en procesos de seguridad de la información y, por supuesto, técnicos con experiencia”. Sería la forma de garantizar que “el 25 de mayo del próximo año la empresa estará cumpliendo adecuadamente con la nueva normativa”.
“Desde Secure&IT recomendamos a las compañías que, si no lo han hecho ya, empiecen a desarrollar un plan de acción para adaptar su forma de trabajar a los nuevos requisitos del RGPD”, añade la responsable de sus Servicios Profesionales de Seguridad. Esto contempla varias acciones, desde designar “un Delegado de Protección de Datos (DPD), hasta actualizar sus medidas de seguridad para así proteger los datos de carácter personal que traten según dicta el RGPD y, de paso, evitar las sanciones”.
Falta preparación (y falta comprensión)
Un informe de NetApp en torno a la adopción del cloud computing, la seguridad y la adecuación al Reglamento General de Protección de Datos por parte de las organizaciones europeas demuestra que las normativas sobre datos siguen representando un reto. Prácticamente la mitad de los responsables y directores tecnológicos que trabajan en empresas del Viejo Continente, nada menos que el 47 %, admite tener únicamente un conocimiento “parcial” sobre el RGPD a pesar de que el momento de su aplicación obligatoria se acerca. Y otro 9 % incluso admite no saber qué es.
“El nivel de comprensión total sobre lo que implica el nuevo RGPD europeo es insuficiente”, determina en base a estos datos Sheila FitzPatrick, Worldwide Data Governance y Chief Privacy Officer de NetApp, que añade que “más del 70 %” de los 750 profesionales entrevistados por su compañía para realizar el estudio sobre RGPD muestra preocupación, “en mayor o menor medida, ante la posibilidad de que sus organizaciones no logren adecuarse” a la nueva realidad que marca el Reglamento “dentro de los plazos estipulados por los organismos europeos”. Y es que “la preparación de cara al RGPD” está siendo “lenta”, remarca FitzPatrick.
Las investigaciones acometidas por NetApp identifican “lagunas significativas en las organizaciones en lo que respecta tanto a la comprensión de la normativa, como a la urgencia en las medidas que deben tomarse en preparación del plazo final de adecuación”. Su CPO revela informaciones inquietantes, como que, “hasta la fecha, sólo el 37 % de los encuestados asegura haber destinado fondos adicionales a garantizar la adecuación a la normativa, una proporción que debería ser mucho mayor para que el entorno empresarial pueda considerarse preparado de cara a un futuro regido por los datos y protegido ante posibles multas de considerable cuantía”. El 14 % ni siquiera ha iniciado los preparativos.
“Con cierta frecuencia, las organizaciones no tienen claro en quién recae la responsabilidad en materia de protección de datos”, ahonda Sheila FitzPatrick sobre la incertidumbre actual. Esa responsabilidad está vinculada a quien produce los datos, según 1 de cada 2 de compañías. Otro 46 % apunta directamente a quien los procesa. En las cábalas entran asimismo los proveedores externos de cloud. Y así, entre originadores y procesadores de datos, se genera la confusión. ¿Quién debería hacerse cargo? Lo cierto es que todos tendrán su porción de responsabilidad cuando comience a regir el RGPD.
¿Aún queda tiempo?
Al comprobar la falta de concienciación actual que detectan los expertos, el trabajo que todavía hay que hacer para acabar respetando el Reglamento se antoja considerable. “El RGPD ya ha entrado en vigor”, remarca Sonia Martín. Y el periodo que va “desde mayo de 2016 hasta el 25 de mayo de 2018” y “del que disponen todas las empresas y organizaciones para adecuarse” se agota. Lo bueno es que “hay tiempo para adecuarse”, afirma la directora de Servicios Profesionales de Seguridad de Secure&IT, pero “lo mejor es empezar cuanto antes”. Esto es, “con independencia de que se publique o no la nueva norma que va a sustituir a la actual LOPD y a extender el RGPD”.
Rosa Díaz Moles concuerda en que “estamos a tiempo, pero cada vez va quedando menos margen. Hablamos de un entorno cada vez más complejo y es interesante valorar la colaboración con un proveedor externo de ciberseguridad” para enmendar la falta de preparación.
“Las oportunidades de ayuda y colaboración por parte de los proveedores TIC a las empresas y organizaciones en sus procesos de adaptación a las diferentes normativas europeas van a ser numerosas y con servicios y tecnologías muy variadas”, indica la directora general de Panda Security España. Por ejemplo, “servicios de consultoría, auditoría, servicios de data center, servicios disaster recovery y BRS, desarrollos a medida, productos y soluciones on-premise y cloud. En el ámbito de servicios y productos o soluciones de seguridad vinculados de manera específica al RGPD”, de forma paralela, entran “los sistemas de gestión y acreditación de consentimiento” así como los “de cifrado y anonimización/seudonimización de datos”.
Ya “de manera horizontal, existe la necesidad de disponer de una buena solución de protección del puesto de trabajo”, de acuerdo con las recomendaciones de Panda, por ser “el elemento más próximo a los usuarios” y “el eslabón más débil en cuanto a potencial fuga de datos y ciberataques”. Las empresas necesitarán visibilidad en los procesos de cada endpoint.
Contar con la ayuda de “empresas expertas en la materia” es asimismo para Sonia Martín “lo más adecuado” a la hora de solucionar dudas y diseñar un programa de cumplimiento. Esta experta en Compliance TIC diferencia entre la perspectiva jurídica y la técnica. “Por un lado, hay que centrarse en el cumplimiento de los principios establecidos en el RGPD” en temas como la “obtención del consentimiento explícito” o la “atención al ejercicio de los derechos” nuevos como “portabilidad y olvido”. Por otra parte, la directiva de Secure&IT apuesta por una evaluación “para poder conocer a qué riesgos se exponen los afectados por los tratamientos de los datos y, en consecuencia, implantar las medidas de seguridad necesarias”.
“Aunque el RGPD es, principalmente, un tema relacionado con el cumplimiento legal y no un asunto relacionado con la tecnología o las TI, la tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento”, resuelve Sheila FitzPatrick, a la pregunta de cómo prepararse para la llegada de nuevas normas que cambian el orden establecido hasta la fecha.
No sólo seguridad, también privacidad
Finalmente, hay que tener en cuenta que “el RGPD tiene unos requisitos nuevos para hacer que las empresas se responsabilicen más de sus prácticas relacionadas con los datos, incorporando nuevas responsabilidades, como la protección por diseño, la protección de los datos por defecto, las obligaciones para guardar los datos, el conocimiento de los flujos de datos, las transferencias a través de fronteras y el derecho a ser olvidado”, tal y como enumera FitzPatrick, Chief Privacy Officer de NetApp. Y esto “requerirá unas soluciones tecnológicas que no sólo se ocupen de la seguridad y que ignoren la privacidad”.
“Las valoraciones sobre el impacto de la protección de datos, además de las valoraciones del impacto de la seguridad, van a cambiar la toma de decisiones”, según la evaluación que realiza NetApp de la situación. En el futuro, “las soluciones tecnológicas ya no se pueden elaborar únicamente teniendo en cuenta costes, flexibilidad, escalabilidad y lo que sea mejor para el departamento de TI. La privacidad será ahora la pieza central y principal de todas las decisiones”.
Con la obligatoriedad del Reglamento General de Protección de Datos europeo se producirán cambios incluso a nivel de organización. Surgirán figuras como la del Delegado de Protección de Datos y “el Director de Privacidad (Chief Privacy Officer) tendrá un lugar en el equipo directivo, junto al Director de Sistemas de Información (Chief Information Officer) y el Director de Seguridad de la Información (Chief Information Security Officer)”. Así lo espera Sheila FitzPatrick, que explica que este “enfoque puede suponer toda una novedad para algunas organizaciones y puede representar una curva de aprendizaje importante”. De ahí la importancia de empezar lo antes posible.
Si quieres saber cuáles son los principales cambios que introduce el Reglamento General de Protección de Datos respecto a la normativa anterior y cómo afectan esas novedades a tu compañía, no te pierdas el análisis que publicaremos en los próximos días en Silicon.es sobre el contenido del RGPD.