El 90% de las empresas españolas incumple aún la nueva normativa de datos

A 100 días del comienzo del nuevo Reglamento General de Protección de Datos (GDPR) en todos los países de la UE, solo el 10% de las empresas españolas cumple con la nueva normativa, frente a una media europea del 20%, y otro 20% asegura tener planes sólidos para asegurar su cumplimiento. Así lo refleja un estudio de la consultora IDC y Microsoft que analiza la situación de 100 compañías de más de 250 empleados de diferentes sectores de actividad a cierre de 2017.

“A esa fecha, el 65% restante no podía garantizar el cumplimiento de la nueva regulación, aunque un 35% de ellas aseguró estar elaborando planes al respecto”, dijo ayer Emilio Castellote, investigador de IDC, quien detalló los principales obstáculos para que las compañías se adapten con mayor rapidez a la nueva normativa: el conflicto de intereses (56%), la limitación de recursos (49%), la ausencia de presupuesto (46%) y el desconocimiento sobre cómo llevar a cabo el proyecto (42%).

Castellote apuntó que, aunque el 96% de las empresas encuestadas han oído hablar de la nueva normativa, muchas tienen dudas sobre cómo aplicarla (59%), qué datos tienen que proteger, cómo tienen que gestionarlos o qué medidas de seguridad necesitan implantar. En este contexto, el investigador de IDC apuntó que el 80% de las empresas tienen “datos oscuros", sobre los que las organizaciones no tienen visibilidad.

El director de Operaciones y Marketing de Microsoft, Antonio Budia, y el director de Tecnología de esta misma compañía, Héctor Sánchez, coincidieron con Castellote en que va a ser “imposible llegar al 100% de empresas preparadas de aquí al 25 de mayo (ningún país puede presumir de que vaya a lograrlo)”, pero urgieron a las empresas a definir sus planes para abordar la nueva normativa, que representa un cambio fundamental en la protección de los datos personales dentro de la UE, al aumentar los derechos de los usuarios y las obligaciones de las compañías.

Según estima IDC, las organizaciones españolas van a invertir un total de 140 millones de euros durante 2018 para hacer frente a la adaptación de sus procesos y sistemas al GDPR, lo que supone un 44% más que el año anterior. De todas las partidas presupuestadas, las que más van a crecer son las destinadas a revisión y mejora de identidades, identificación de aplicaciones que usen datos privados a los que es necesario aplicar la normativa y la comunicación interna y formación de empleados. El estudio revela igualmente que el 66% de las empresas ya ha incorporado la figura de delegado de protección de datos

Los responsables de Microsoft y de IDC recordaron que, una vez entre en vigor la nueva normativa, las empresas que no gestionen adecuadamente los datos estarán expuestas a sanciones que supondrán bien el 4% de su facturación, bien cantidades de hasta 20 millones de euros. Con todo, precisó Castellote, el estudio demuestra que las empresas temen más por el daño que puede causar a su reputación una violación de la información custodiada que por las multas que les podría ocasionar el incumplimiento”.

Microsoft, un aliado

El estudio revela que el 90% de las compañías va a recurrir a la ayuda de empresas externas dado el desconocimiento que hay en torno a la nueva normativa.La ayuda más demandada será la de consultoras especializadas en riesgos (39%), organizaciones de servicios TI locales (36%) y bufetes de abogados (35%).

El trabajo elaborado por IDC y Microsoft también muestra que el 80% de las organizaciones encuestadas apuestan por la nube como plataforma básica para cumplir con la nueva regulación, “pues da respuesta a todos los obstáculos para adecuarse al GDPR, entre otros la limitación de recursos y la ausencia de presupuesto”, dijeron.

Microsoft, que cuenta con ocho centros de datos en la UE, se ofreció como socio para ayudar a las compañías a cumplir con los requisitos de GDPR. “Tenemos la plataforma de servicios cloud, el expertise humano y la metodología para hacerlo”, resumió Budia, quien explicó que han desarrollado un plan integrado por cuatro pasos clave. El primero, para crear el inventario de datos que tienen las compañías e identificar los sistemas donde se recopilan y almacenan. El segundo, para definir la gobernanza de los datos y su clasificación, además de definir políticas, roles y responsabilidades. El tercer paso permitirá establecer mecanismos para prevenir, detectar y responder a vulnerabilidades y violaciones de la información, y el cuarto, ayudará a las empresas a ser más transparentes a la hora de informar sobre el uso que hace de todos los datos personales que maneja.