¿CONOCEN BIEN LAS EMPRESAS LA NUEVA NORMATIVA DE PROTECCIÓN DE DATOS?
El 25 de mayo de 2016 se aprobó el Reglamento General de Protección de Datos, regulación que trata de armonizar la normativa de esta materia dentro de la Unión Europea. Se ofreció un espacio de tiempo de hasta dos años para que las empresas que deban ajustarse a él tuvieran el tiempo suficiente para ponerse al día.
Sin embargo, cada vez queda menos y, según los expertos, probablemente sean muchas las compañías que no cumplan con el plazo. “Según distintos informes, más de la mitad de las empresas europeas no están preparadas todavía, especialmente las PYMES”, asegura Vesku Turtia, Country Manager de la multinacional experta en ciberseguridad FireEye.
Uno de los principales problemas que plantea esta normativa para las PYMES y para las empresas más pequeñas es la falta de recursos económicos para adaptarse a esta normativa. Además, existe un gran desconocimiento de los cambios que implica el GDPR. Según Ignacio Arrese, fundador de la compañía Smart HC “se harán eco de ella cuando sea tarde, se esté sancionando y haya problemas”.
Si hay un aspecto que sufra un cambio sustancial respecto a la anterior legislación, ese es el de las sanciones por las infracciones. Si con la anterior normativa, las infracciones muy graves ascendían a multas de entre 300.001€ y 600.000€, ahora estas aumentan hasta los 20.000.000€ o el 4% de la facturación anual mundial de la empresa.
Sanciones y multas de una gran cuantía económica, pero necesarias, según los expertos. Y nada mejor que una medida coercitiva de tal calibre como estas sanciones para que se acabe cumpliendo con lo que el reglamento indica. “Es una sanción que viene si no haces caso. Conclusión: haz caso”, señala Arrese. “Estamos hablando de datos personales que afectan directamente a la privacidad de las personas, por lo tanto desde nuestro punto de vista lo importante es que todas las compañías tengan a su alcance y adopten las medidas y técnicas necesarias para evitar las consecuencias que acarrea la violación de la privacidad de las personas”, apunta Vesku Turtia.
El reloj sigue corriendo y cada vez queda menos para que estas se apliquen, por lo que las empresas tienen que echar el resto para ponerse al día con las exigencias del nuevo reglamento. Para ello, resulta fundamental que los empleados de la compañía estén formados en el campo de la seguridad y se tomen las medidas necesarias para reducir al máximo la posibilidad de que los diferentes ataques que se puedan recibir resulten exitosos.
Para prevenir o detectar ciberataques, es muy importante que exista un control exhaustivo de las redes de la empresa que permitan detectar cuanto antes cualquier incidente relacionado con los datos personales que gestione una compañía, ya que cuentan con un plazo de hasta 3 días para avisar a las autoridades competentes de cualquier brecha de seguridad que se haya producido. Para logarlo, Vesku Turtia indica que “hay que utilizar soluciones que vayan más allá de las tradicionales y apliquen la inteligencia a la hora de visualizar todo lo que sucede en las redes de la empresa en tiempo real”.
A medida que se vaya acercando esta fecha límite de los 2 años para la completa entrada en vigor del GDPR, las empresas irán apuntalando todo este tipo de medidas en sus sistemas. Según Ignacio Arrese, “hay que auditar los sistemas para comprobar que no haya agujeros y, por lo tanto, ver que has tomado las medidas oportunas”, aunque, probablemente, si las medidas que se han tomado son las oportunas es algo que solo se podrá comprobar con el paso del tiempo, cuando el reglamento esté en pleno funcionamiento y se vean los aspectos positivos y las carencias que presenta el mismo.