LEY DE PROTECCION DE DATOS - LAS EMPRESAS NO ESTAN PREPARADAS

Casi un 35% de las compañías tiene implementados procesos que aseguran el cumplimiento de la normativa internacional de protección de datos, mientras que la mayoría aún tiene lagunas en áreas clave.

A pesar de que las empresas que, a partir del 25 de mayo, no cumplan con el Reglamento General de Protección de Datos (RGPD) se arriesgarán a multas de hasta 20 millones de euros o el 4% de la cifra de negocio global (hasta ahora el máximo llegaba a 600.000 euros), tan sólo un tercio de ellas está completamente preparada para su entrada total en vigor, según el informe Global Data Privacy Snapshot 2018, elaborado por DLA Piper.

"Muchas compañías piensan que bastarán unos retoques formales en lo que ya estaba implantado para cumplir adecuadamente el reglamento europeo y su futura ley orgánica de acompañamiento y no es verdad", alerta Diego Ramos, socio y director del departamento de propiedad intelectual y tecnología de la oficina de Madrid de DLA Piper, que se muestra preocupado por la inercia que están mostrando muchas organizaciones respecto al planteamiento de la protección de datos.

Desde 1992, cuando se aprobó la primera ley orgánica española en materia de protección de datos personales, ha habido varias modificaciones legales y reglamentarias, pero el experto asegura que la filosofía general del sistema se ha mantenido igual. A pesar de ello, todo cambiará a partir del 25 de mayo, ya que se establecerán unas directrices claras y únicas a nivel europeo, que serán de obligado cumplimiento para todas las empresas que operen en la UE, independientemente de si están establecidas o no en suelo comunitario.

Hasta el momento, los sectores financiero y el tecnológico son los alumnos más aventajados, aunque las diferencias actuales en cumplimiento no vienen tanto por industrias concretas, sino por los perfiles de compañías. En este sentido, los grupos con más actividad internacional comenzaron a adaptarse a finales de 2016 y en 2017, mientras que a los más enfocados al mercado doméstico les está costando un poco más, pero "por el hecho de que una empresa tenga poca o ninguna actividad fuera de España no tendrá más tiempo para adaptarse, ni menos riesgo de sanción, sino justamente lo contrario", avisa el socio de DLA Piper.

Además de las multas graduales según el tipo de infracción, el reglamento europeo establece un régimen reforzado para que los perjudicados puedan pedir indemnizaciones independientes de las sanciones. También incluye la posibilidad de representación colectiva que puede facilitar esas reclamaciones. Por este motivo, Diego Ramos insiste en que "tener una política de gestión de datos personales realmente sólida es indispensable".

 Para conseguirlo, el socio de DLA Piper en España explica que hay que analizar a fondo lo que la compañía hace de verdad con los datos personales y diseñar un modelo jurídico específico, dentro de las variadísimas opciones que el nuevo reglamento ofrece, para evitar sorpresas indeseadas en forma de bloqueo de operaciones, denuncias o sanciones