El 65% de las empresas españolas no puede garantizar el cumplimiento del nuevo Reglamento General de Protección de Datos (GDPR en sus siglas en inglés, General Data Protection Regulation) a 100 días de que sea de obligado cumplimiento en los Estados miembros de la Unión Europea, a partir del 25 de mayo de 2018, según el estudio 'Cómo acelerar el cumplimiento de GDPR'.
La investigación, realizada por International Data Corporation (IDC) en colaboración con Microsoft, ha sido presentada este miércoles en Madrid por el director de Operaciones y Marketing de Microsoft, Antonio Budia; el director de Tecnología de la compañía, Héctor Sánchez; y Emilio Castellote, investigador de IDC.
El estudio muestra que el 10% de las empresas españolas cumplen GDPR, y otro 25% cuenta con planes sólidos para asegurar el cumplimiento en mayo de 2018, lo que supone que el 65% no puede garantizar el cumplimiento del nuevo reglamento en la actualidad.
A través de una encuesta realizada a 100 empresas multisectoriales de toda España de más de 250 empleados, el informe concluye que un 5% de las compañías asegura que no sabe por dónde empezar, mientras que un 15% asegura estar a la espera de más información al respecto. Además, un 35% de las empresas manifiesta que tenía previsto empezar en 2017.
Según estima IDC, las organizaciones españolas van a invertir un total de 140 millones de euros durante 2018 para hacer frente a la adaptación de sus procesos y sistemas, lo que supone un 44% más que el año anterior. Así, la tasa de crecimiento anual de esta inversión entre 2016 y 2021 será de 24,1%.
Además, la autora del estudio, Laura Castillo Martínez, prevé que las partidas presupuestarias que más crezcan sean las destinadas a la revisión y mejora de la gestión de identidades y el acceso a la información (70%), la identificación de aplicaciones que usen datos privados a los que es necesario aplicar GDPR (66%) y la comunicación interna y formación de empleados (61%).
España, por debajo de la media europea
De este modo, según se desprende de los datos del estudio, la situación de España se sitúa por debajo de la media europea, donde el 18% de las organizaciones empresariales ya cumple con la legislación, siendo Alemania (26%), Reino Unido (24%) e Italia (20%) los países más adaptados a este nuevo reglamento, que entró en vigor en mayo de 2016.
Asimismo, el informe revela que los principales motivos por los que las empresas españolas no cumplen la norma son el conflicto de prioridades (56%), la limitación de recursos humanos especializados (49%), la ausencia de presupuesto (46%) y el desconocimiento (42%).
Según ha explicado el director de Operaciones y Marketing de Microsoft, una de cada tres empresas españolas considera la nueva regulación como una ventaja competitiva o una oportunidad para mejorar la eficiencia o la revisión del gobierno de la información. Además, Antonio Budia ha advertido de que el 80% de las personas que vean vulnerada su información personal no volverán a confiar nunca en esa empresa.
Por otro lado, el estudio subraya también que, pese a que el 96% de las empresas encuestadas han oído hablar del reglamento, un 59% de las compañías tiene dudas sobre su aplicación (datos a proteger, cómo gestionarlos o qué medidas de seguridad necesitan implementar).
Respecto a los retos a los que se enfrentan las empresas, el informe destaca que las organizaciones tienen que hacer frente a la clasificación de los datos (54%), en un contexto de gran cantidad de datos
"obsoletos, duplicados y oscuros, sobre los que la organización no tiene visibilidad". Además, es importante la prevención de pérdidas de datos (53%), es decir, asegurar que los usuarios no envían información sensible fuera de la red corporativa.
El estudio muestra que en España el 7% de las empresas de más de 250 empleados no tienen pensado asignar un Delegado de Protección de Datos (DPO), cuya función es supervisar el cumplimiento de la legislación, informar y asesorar a los responsables del tratamiento de los datos.
Además, el 90% de las empresas encuestadas indican que van a recurrir a la ayuda de empresas externas, siendo los servicios más demandados los de consultoras especializadas en riesgos (39%), organizaciones de servicios TI locales (36%) y bufetes de abogados (35%).
En la presentación del informe, el director de Tecnología de la compañía, Héctor Sánchez, ha elogiado la labor de la Agencia Española de Protección de Datos (AEPD) en la difusión y divulgación de información relativa a este nuevo reglamento, y ha afirmado "sería razonable" que hubiera cierta "flexibilidad", a partir del 28 de mayo, de cara al establecimiento de sanciones y multas por incumplimiento.