A falta de apenas un mes para que el nuevo Reglamento de Protección de Datos sea de obligado cumplimiento en toda Europa, las empresas españolas están en pleno "sprint" final para llegar preparadas al 25 de mayo, conscientes, no obstante, de que ese día no es el final del proceso, sino "sólo el principio".

"Lo que hemos estado haciendo hasta ahora es sólo para llegar el 25 a la línea de salida preparados", dice la delegada de protección de datos (DPO) de Ericsson en España y Portugal, Silvia Gerbolés.

"Ha habido un poquito de atropellamiento en las medidas que estamos tomando, como si el examen fuera el 25 de mayo. Y es que el 26 va a haber otro. Y el 27 y el 28 y en verano y el año que viene", añade el encargado de velar por la aplicación del Reglamento General de Protección de Datos (RGPD) en IBM España, Fernando Navarro.

La norma, que regula el tratamiento de cualquier dato personal y prevé millonarias multas para quien lo incumpla, sustituye a una Directiva en materia de protección de datos personales que data de 1995, antes de que Google, las redes sociales y los "smartphones" cambiasen para siempre el mundo digital en el que nos movemos.

Las empresas gestionan a diario millones de datos personales, desde nombres y datos bancarios y de consumo a información médica, y no sólo las grandes compañías, sino "cualquier clínica, como un dentista, un otorrino o un dermatólogo", pone como ejemplo el asesor de Cepyme en temas de protección de datos Julio Fernández.

El panorama, a falta de un mes, no ha cambiado mucho con respecto a los últimos meses: las grandes compañías "llevan tiempo ejecutando el proceso de adaptación" y las pymes, "bien por falta de recursos o de conciencia respecto a los que es el RGPD, deben ir un poquito cojas", apunta el experto de Accenture Jaume Soler.

Las pymes, que suponen el 99 % del tejido empresarial según datos de Cepyme, "tienen serios problemas" y hay gente "que ni siquiera es consciente lo que es la protección de datos a día de hoy", apunta el DPO de Huawei España, Manuel Díaz, cuya compañía cuenta entre sus proveedores con muchas pequeñas y medianas empresas.

"Hay que implicarse en ayudarlas, porque esto es un tema muy serio y para ellos tiene muchas complicaciones y conlleva una dotación de recursos enorme. El mensaje, y lo digo desde la empresa grande, es que hay que ayudar a las pymes", añade.

El asesor de la patronal Cepyme hila más fino y sitúa en el grupo de "aventajadas" a aquellas empresas con más de 25 empleados, que suelen contar, externalizado o no, con departamento informático y jurídico y su correspondiente asesoramiento.

"El problema es la empresa pequeña", donde hay bastante desconocimiento con respecto a sus obligaciones y cuya actitud es más la de "esperar hasta que salga" la nueva Ley Orgánica de Protección de Datos, cuya aprobación iba a coincidir con el inicio de aplicación del reglamento, pero se ha ido retrasando.

Y haya o no ley, la norma europa será directamente aplicable.

"Es necesario que la nueva ley se adapte lo máximo posible al reglamento europeo sin establecer claras diferencias", afirma la directora de Contenidos de la patronal tecnológica DigitalEs, Elena Berruguete, que ha expresado la preocupación de sus asociados por que la norma española pueda imponer "nuevas obligaciones que dejen a las empresas españolas en desventaja competitiva".

• Left6:No existe configuración de publicidad para el slot solicitado

IDC ha estimado que las organizaciones europeas van a invertir 140 millones de euros durante 2018 para hacer frente a la adaptación de sus procesos y sistemas a RGPD, un 44 % más que en 2017.

Pero además, según el experto de Accenture, el presupuesto inicial que habían asignado las empresas para adaptarse "se les ha disparado" hasta el 30 ó el 40 %.

El reglamento, que prevé multas que pueden alcanzar los 20 millones de euros o hasta un 4 % de la facturación anual, crea la figura del delegado de Protección de Datos (DPO) y estipula que el consentimiento para el uso de los datos tiene que ser inequívoco y verificable, y no tácito como hasta ahora.

A partir de mayo, además, las empresas tendrán que informar cuando hayan sufrido una brecha de seguridad a las autoridades de control en un plazo de 72 horas tras haber tenido constancia de la misma y, dependiendo de la gravedad, a los afectados.

La norma además garantizar los derechos al olvido, es decir, a impedir la difusión de datos personales en internet si, por ejemplo, han sido tratados ilícitamente o ya no non necesarios para los fines que fueron recogidos, y a la portabilidad, que permite obtener una copia de los datos que se han facilitado a una empresa e, incluso, que ésta los ceda directamente a otra si así lo quiere el cliente.