Menos de 100 días. Es el tiempo restante hasta que el GDPR sea de obligado cumplimiento. ¿Está preparada tu empresa? La probabilidad de que la respuesta sea negativa es muy alta, ya que tres de cada cinco empresas afirman no estar listas para afrontar los cambios que implica la nueva regulación de protección de datos. Según un estudio reciente de Forrester, un gran número de empresas reconocen estar trabajando para adaptarse a la normativa y el 22% espera cumplir con el GDPR en 2018. Sin embargo, podría ser demasiado tarde ya que la fecha límite lleva fijada dos años y es el 25 de mayo.
GDPR, ¿qué es y por qué tengo que preocuparme?
Es poco probable que, a estas alturas, no hayas oído hablar del GDPR. Si no te suena y tu empresa procesa información de ciudadanos de la Unión Europea, entonces sí, deberías preocuparte. ¿Por qué? Porque, independientemente de donde esté ubicada tu empresa, debes cumplir con el GDPR. Todavía es patente que muchas empresas no son conscientes de que esta regulación tiene alcance global, que no es solo un asunto europeo. De hecho, el 43% de los profesionales de TI de Estados Unidos no creen que el GDPR tenga impacto en su empresa.
GDPR son las siglas en inglés del Reglamento General de Protección de Datos. Esta normativa busca proteger la privacidad de los datos personales de los ciudadanos de la Unión Europea y controlar cómo empresas e instituciones procesan, almacenan y utilizan esos datos. Por tanto, es aplicable a empresas de cualquier tamaño y de cualquier país que manejen esa información.
El GDPR implica cambios considerables para garantizar a los individuos un acceso más sencillo a sus datos y atribuye mayores responsabilidades a las empresas para protegerlos. Entre los cambios principales se incluyen la obligación de obtener el consentimiento explícito y activo por parte del individuo para procesar, almacenar o utilizar sus datos (ya no es suficiente con informar al usuario, hay que obtener su conformidad) y la obligatoriedad de notificar las filtraciones de datos personales a las autoridades de control en un plazo máximo de 72 horas desde que la empresa es consciente del incidente. Además, el GDPR incorpora nuevos derechos como el de olvido (permite al usuario solicitar la supresión de sus datos personales en diversos supuestos: si se ha retirado el consentimiento, si ya no son necesarios para el propósito para el que fueron recogidos, etc.) o el de portabilidad (otorgando al usuario derecho a solicitar que la organización que almacena sus datos personales le facilite una copia o transfiera estos datos a otra organización).
A pesar de las exigencias del GDPR para reforzar el control de los datos personales por parte de las compañías, algunas de las empresas que más dependen del uso de datos personales, como las del sector de la comunicación o el retail, son las menos preparadas para acatar la normativa. Solo el 27% afirma cumplir completamente con el GDPR y muchas reconocen que han comenzado a aplicar cambios “por la presión de sus propios clientes”, según Forrester.
Los riesgos de incumplir el GDPR
Infringir el GDPR apareja diversas consecuencias:
- Económicas: La más comentada y la que más preocupa a las empresas. Las autoridades tendrán la facultad de imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual de la empresa. Evidentemente, estas multas serán dictaminadas en función de diversos factores como la naturaleza, la gravedad y la duración de la infracción (por ejemplo, cuánta gente ha sido afectada y qué daños les ha supuesto), si se debe a una negligencia, si ha habido antecedentes, etc.
Precisamente, las multas más graves serán para aquellas empresas que incumplan los principios básicos de procesamiento de datos personales, violen los derechos de los usuarios o transfieran datos personales a terceros países u organizaciones internacionales que no puedan asegurar un nivel adecuado de protección.
A las multas administrativas se suma el impacto económico añadido derivado de las reclamaciones e indemnizaciones exigidas por las personas físicas que hayan visto como se vulneran sus datos personales.
- Reputacionales: Incumplir el GDPR será motivo de escarnio público. El mayor nivel de transparencia que exige la nueva normativa y la obligatoriedad de notificar las filtraciones de datos personales podría hacer que el caso de tu empresa salte a la palestra; sin olvidar el impacto desfavorable que genera en tus clientes saber que sus datos están desprotegidos. La falta de confianza y la publicidad negativa deberían preocupar a tu empresa incluso más que las multas.
- Comerciales: No poder demostrar que tu empresa cumple la normativa puede ocasionar pérdida de clientes y poner trabas a posibles acuerdos con otras empresas. Los clientes no estarán dispuestos a poner en riesgo sus datos personales si hay una empresa de la competencia que sí asegura los estándares de privacidad que exige el GDPR. Esto también influirá en los acuerdos comerciales: ninguna empresa querrá ser partner y compartir información de sus clientes con otra que pueda hacer peligrar la seguridad de esa información compartida.
En resumidas cuentas, no cumplir con el GDPR puede forzar el cierre de tu empresa. El precio, y no hablamos solo en términos económicos, de contravenir esta normativa es demasiado elevado como para pasarlo por alto. Por eso, hemos decidido ayudarte a lograr que tu empresa cumpla con la nueva regulación, situando la privacidad y la protección de los datos personales como una prioridad. En este microsite tienes toda la información sobre el GDPR, los desafíos que entraña y cómo Panda Data Control y las soluciones corporativas de Panda están ayudando a miles de empresas a proteger los datos de sus clientes. Recuerda: quedan menos de 100 días.