Actualmente, únicamente el 10% de las empresas españolas cumplen con el RGPD (Reglamento General de Protección de Datos), a pesar de haber contado con dos años para adaptarse a la nueva normativa, según se desprende del último informe de IDC Research España sobre el estado del cumplimiento normativo del RGPD.
A la principal conclusión de que solo el 10% de las empresas cumplen con el RGPD, hay que sumar que solo un 25% de empresas tienen planes sólidos para asegurar su cumplimiento en mayo de 2018. Por tanto, el 65% restante no cuenta con una estrategia para cumplir con el reglamento a día de hoy. Es decir, la mayoría de las empresas españolas está iniciando ahora su viaje hacia el nuevo marco normativo.
Estos datos se encuentran ligeramente por debajo de la situación europea, donde el 18% de las organizaciones ya cumple con la legislación. A la cabeza del continente se encuentran Alemania (26%), Reino Unido (24%) e Italia (20%). Las empresas españolas tienen, por tanto, que aumentar sus esfuerzos si no quieren quedarse atrás.
“Sin embargo, la situación es cada vez más positiva, ya que 1 de cada 3 empresas españolas considera la nueva regulación como una ventaja competitiva o una oportunidad para mejorar la eficiencia o la revisión del gobierno de la información”, apunta Laura Castillo, analista senior de IDC Research España.
Los principales motivos detrás de la falta de cumplimiento son el conflicto de prioridades (56%), la limitación de recursos (49%), la ausencia de presupuesto (46%) y el desconocimiento (42%).
Aunque el 96% de las empresas encuestadas ha oído hablar del RGPD, muchas todavía tienen dudas sobre cómo aplicarlo (59%): qué datos tienen que proteger, cómo tienen que gestionarlos o qué medidas de seguridad necesitan implementar. “RGPD regula la recopilación, el almacenamiento y el uso de “datos personales”, es decir, cualquier información que sirva para identificar a una persona natural. Esto abarca desde conceptos tan fácilmente identificables como el nombre o el email, pero también una dirección IP, la información procedente de cookies”, explican desde IDC Research España.
RGPD es un reto reputacional, más que económico
Según IDC Research España, el reglamento es un reto reputacional más que económico (a pesar de que las multas son considerables: hasta el 4% de la facturación mundial o 20 millones de euros, lo que sea mayor) puesto que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa, con el consecuente perjuicio al negocio.
Para evitar ese daño, cumpliendo con el RGPD las empresas deben afrontar una serie de retos como son los relacionados con los requerimientos o con la clasificación de los datos. IDC Research España estima que en torno al 70-80% de los datos de una empresa son “datos oscuros”, es decir, datos sobre los que la organización no tiene visibilidad, por tratarse de duplicaciones o porque forman parte de contenido desestructurado, entre otros motivos. Esto dificulta su localización y gestión.
Las organizaciones también consideran un reto la prevención de pérdidas de datos (53%), es decir, asegurar que los usuarios finales no envían información sensible fuera de la red corporativa. “Para ello es fundamental las iniciativas de formación y concienciación de los empleados”, apostilla Laura Castillo de IDC Research España.
Apostar por la nube sin prever el impacto del RGPD
Una de las principales preguntas de las empresas es cómo va a afectar RGPD a cloud. Muchas organizaciones temen introducir un factor de riesgo adicional que no puedan controlar adecuadamente, y quieren evitar los requisitos contractuales complejos. Aun así, un 53% de las organizaciones va a continuar apostando por la nube sin considerar el impacto de la normativa.
El resto de las organizaciones, por el contrario, sí van a condicionar su estrategia cloud, migrando sus servicios a proveedores en España (23%), Europa (4%) o directamente a un datacenter propio (6%).
“Es muy importante que los usuarios de servicios cloud sean conscientes de que no se puede subcontratar la responsabilidad del cumplimiento de RGPD a un proveedor de servicios. Eso no exime a los proveedores de aplicar las medidas de seguridad necesarias y comunicárselo a sus clientes”, subrayan desde la consultora.
