La empresa española ante GDPR: conocimiento sí; confusión también

  • Normativa

Una investigación de Trend Micro pone de relieve que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR, pero también que hay gran confusión en torno sobre lo que constituyen los datos personales que tienen que proteger.

Un estudio realizado por Opinium Research para Trend Micro, realizado entre 1.132 entrevistas online a responsables de TI de organizaciones con más de 500 empleados de 11 países, deja interesantes conclusiones sobre cómo está siendo la adaptación al GDPR de la empresa española, cuando faltan poco más de seis meses para la entrada en vigor de la nueva normativa.

También puedes leer...

Tratando con el Ransomware

Directrices para el Data Protection Office (DPO)

Cinco pasos para hacer del Data Masking una realidad

Lagunas de conocimiento en Ciberseguridad

Cómo cuantificar el valor de un CASB

“Los consejos de administración de las organizaciones españolas no están tratando el GDPR con la seriedad requerida, lo que conlleva a que haya un exceso de confianza en lo que respecta al cumplimiento”, concluye el estudio. El documento pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR, con el 100% de los directivos españoles encuestados sabiendo que debe cumplir con la regulación, y prácticamente la mayoría (un 95%) asegura haber leído sus requisitos (95%). Además, el 82% de las empresas nacionales está convencido de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.

A pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los 'datos personales' que se necesitan proteger. Por ejemplo, de los participantes en el estudio en España, el 68% no sabía que la fecha de nacimiento de un cliente se debe considerar como un dato personal, lo que contrasta con que solo una cuarta parte (24%) de los líderes empresariales españoles no clasificaría las bases de datos de email marketing como datos personales. La proporción se incrementa tres de cada diez (29%) en el caso de una dirección postal y a casi uno de cada diez (15%) si hablamos de la dirección del correo electrónico de un cliente. “Con esta información sin proteger, las empresas están poniendo en bandeja a los hackers los motivos para cometer robos de identidad. Por tanto, cualquier organización que no esté protegiendo correctamente su información corre el riesgo de ser multada”, señala el informe.

Por otro lado, el 90% de las compañías participantes en el estudio afirma contar con un proceso formal para notificar a la autoridad de protección de datos un incidente de seguridad dentro del plazo de las 72 horas que marca la nueva ley. Sin embargo, el 25% de las que han confirmado disponer de este protocolo dice que evita notificar a los clientes la existencia de una brecha de seguridad.

El coste de no cumplir con el GDPR

Cuando se trata de sanciones, las empresas españolas podrían recibir una sorpresa. Tres cuartos (73%) desconocen la cuantía de la multa a la que se podrían enfrentar, y solo una cuarta parte (27%) reconoce que podrían ver sacrificada entre el 2% y el 4% de su facturación anual global.

El 20% de las compañías afirma que una multa no les importaría o no les causaría demasiado inconveniente, pero “estas actitudes pueden cambiar una vez que estén al tanto de las verdaderas consecuencias financieras de una infracción, llegando a provocar incluso el cierre del negocio”, apunta la firma de seguridad.

Cuando se les preguntó cuál sería el mayor impacto en caso de incumplimiento, el 82% de las organizaciones en España cree que la reputación y el daño al valor de la marca son el mayor obstáculo en caso de incumplimiento, y algo más de la mitad (52%) aseguró que tendría un mayor impacto entre los clientes existentes. El 30% afirmó temer que las perspectivas de nuevo negocio se vieran afectadas, mientras que 17% considera que la multa tendría el mayor impacto.

"La falta de conocimiento en lo que rodea al GDPR que han demostrado las organizaciones en este estudio es asombrosa. Las fechas de nacimiento, las direcciones de email, las bases de datos de marketing y las direcciones postales son información crítica de los clientes, y es preocupante que todavía existan tantas compañías españolas no lo sepan, a pesar de que se muestren tan confiadas. Si las empresas no protegen esta información, no están respetando una normativa inminente, ni a sus clientes, por tanto, indudablemente no están listos para cumplir con el GDPR ", señala David Sancho, responsable de investigación de Trend Micro en Iberia.

Pero la confusión no termina aquí. Trend Micro preguntó a las empresas españolas sobre quién debería rendir cuentas ante una pérdida de datos de la UE por parte de un proveedor de servicios estadounidense. Solo una cuarta parte (25%) de los directivos entrevistados ha sabido identificar correctamente que la responsabilidad recae en ambas partes, un porcentaje mejor que la media global (14%). El 43% de las organizaciones de nuestro país piensa que la multa recaerá en el propietario de la información de la UE, mientras que algo más de una cuarta parte (28%) cree que solo el proveedor de servicios de EE.UU. tendría la culpa.