Algo más de 170 días son los que nos separan de la aplicación del Reglamento General de Protección de Datos de la UE (GDPR), que supondrá una revolución en la manera en que las empresas recopilan, almacenan, tratan y comparten los datos personales de sus clientes y colaboradores. Sin embargo, los informes continúan revelando que las organizaciones simplemente no han avanzado lo suficiente para estar listas para su cumplimiento. El GDPR es un intento único por actualizar y armonizar las leyes de privacidad de datos de los 28 estados miembros de la UE y adecuarlas a la era digital, pero las empresas siguen careciendo de una orientación específica sobre cómo “se deben proteger los datos de todos en todas las transacciones”, lo que genera incertidumbre respecto a cuál es el mejor enfoque y cómo comenzar.
En el caso de España, los consejos de administración no están tratando el GDPR con la seriedad requerida, según se desprende de estudio encargado por Trend Micro, lo que conlleva a que haya un exceso de confianza en lo que respecta al cumplimiento. Esta es la principal conclusión que se extrae del análisis de Opinium Research realizado para Trend Micro, y en el que se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de empresas de todo el mundo.
La investigación pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR, con el 100% de los directivos españoles encuestados sabiendo que debe cumplir con la regulación, y prácticamente la mayoría asegura haber leído sus requisitos (95%). Además, el 82% de las empresas nacionales está convencida de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.
Pero, a pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los ‘datos personales’ que se necesitan proteger. De los participantes en el estudio en España, el 68% no sabía que la fecha de nacimiento de un cliente se debe considerar como un dato personal, lo que contrasta con que solo una cuarta parte (24%) de los líderes empresariales españoles no clasificaría las bases de datos de e-mail marketing como datos personales; incrementándose la proporción a tres de cada diez (29%) en el caso de una dirección postal; y a casi uno de cada diez (15%) si hablamos de la dirección del correo electrónico de un cliente. Con esta información sin proteger, las empresas están poniendo en bandeja a los hackers los motivos para cometer robos de identidad. Por tanto, cualquier organización que no esté protegiendo correctamente su información corre el riesgo de ser multada.
Índice de temas
No se percibe la dureza de las sanciones
Cuando se trata de sanciones, las empresas españolas tampoco están muy duchas. Tres cuartos (73%) desconocen la cuantía de la multa a la que se podrían enfrentar, y solo una cuarta parte (27%) reconoce que podrían ver sacrificada entre el 2% y el 4% de su facturación anual global. Si bien el promedio mundial no parece mucho más prometedor, pues la investigación apunta a que el 66% de los encuestados no parece estar preocupado por la cantidad con la que podría ser sancionado, mientras que un tercio (33%) conoce las multas que conlleva la nueva ley.
En España el 20% de las empresas afirma que una multa “no les importaría o no les causaría demasiado inconveniente”, pero estas actitudes pueden cambiar una vez que estén al tanto de las verdaderas consecuencias financieras de una infracción, llegando a provocar incluso el cierre del negocio.
Cuando se les preguntó cuál sería el mayor impacto en caso de incumplimiento, el 82% de las organizaciones en España cree que la reputación y el daño al valor de la marca son el mayor obstáculo en caso de incumplimiento, y algo más de la mitad (52%) aseguró que tendría un mayor impacto entre los clientes existentes. El 30% afirmó temer que las perspectivas de nuevo negocio se vieran afectadas, mientras que 17% considera que la multa tendría el mayor impacto.
Asombrosa falta de conocimiento
“La falta de conocimiento en lo que rodea al GDPR que han demostrado las organizaciones en este estudio es asombrosa. Las fechas de nacimiento, las direcciones de e-mail, las bases de datos de marketing y las direcciones postales son información crítica de los clientes, y es preocupante que todavía existan tantas compañías españolas que no lo sepan, a pesar de que se muestren tan confiadas”, asegura David Sancho, responsable de investigación de Trend Micro en Iberia. “Si las empresas no protegen esta información, no están respetando una normativa inminente, ni a sus clientes, por tanto, indudablemente no están listos para cumplir con el GDPR”, añade Sancho.
Pero la confusión no termina aquí. Trend Micro preguntó a las empresas españolas sobre quién debería rendir cuentas ante una pérdida de datos de la UE por parte de un proveedor de servicios estadounidense. Solo una cuarta parte (25%) de los directivos entrevistados ha sabido identificar correctamente que la responsabilidad recae en ambas partes, un porcentaje mejor que la media global (14%). El 43% de las organizaciones de nuestro país piensa que la multa recaerá en el propietario de la información de la UE, mientras que algo más de una cuarta parte (28%) cree que solo el proveedor de servicios de EE.UU. tendría la culpa.
Llama la atención también que las empresas en España tampoco están seguras de quién debería hacerse cargo de garantizar el cumplimiento de la regulación. De los encuestados, el 22% cree que el CEO debe ser responsable de liderar el cumplimiento del GDPR, mientras que el 12% de los participantes considera que debe ser el CISO (responsable de seguridad) y su equipo quienes deberían tomar la iniciativa. Sin embargo, solo el 12% de esas organizaciones cuenta realmente con un alto ejecutivo involucrado en el proceso de GDPR, lo que marca una diferencia de 9 puntos por debajo de la media (21%). No obstante, la mayoría de las empresas españolas (66%) tiene al departamento de TI liderando este proceso, mientras que solo el 19% tiene a un miembro de la junta directiva involucrado.