El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), que entró en vigor el pasado mayo, ha cambiado radicalmente la forma en que las empresas pueden recopilar, usar y almacenar datos personales. Con nuevos y amplios derechos para que los usuarios tengan el control de cómo se utilizan sus datos y para que puedan decidir si los comparten o eliminan, las compañías y los reguladores se ven abrumados por las reclamaciones y quejas de quienes conocen más sus derechos respecto a esta cuestión

Según fuentes consultadas por Financial Times, grandes empresas como Facebook o Google se enfrentan a multas de hasta el 4% de su facturación global (alrededor de 20 millones de euros) si se ven afectados por el RGPD, además de registrar un fuerte aumento de los costes en la atención al cliente por las continuas preguntas de los usuarios. “Las empresas de tecnología, grupos de medios, minoristas y bancos se encuentran entre los más afectados por la nueva regulación debido a la gran cantidad de información personal que manejan sobre sus clientes”, explica Francisco Bonnati, socio director de Bonatti Penal & Compliance. En su opinión, en este escenario, “tener un programa de compliance ha dejado de ser una moda para convertirse en una necesidad”.

Los principales objetivos del RGPD son armonizar la legislación de protección de datos en todos los Estados miembros de la Unión Europea; garantizar la protección de los derechos y libertades fundamentales de los ciudadanos; dar a los propietarios de los datos control total sobre su información personal, así como fortalecer el nivel de cumplimiento con enfoque en políticas y procedimientos; dotar de una mayor seguridad y exposición de prácticas débiles poniendo más énfasis en flujos de datos seguros; e introducir un nuevo régimen de ejecución con multas más severas. “Bajo el RGPD las sanciones por tener una gestión de la privacidad de datos incorrecta pueden ser graves. Las autoridades de`protección de datos para el cumplimiento del GDPR pueden emitir advertencias y amonestaciones, imponer prohibiciones al procesamiento, suspender transferencias de datos y ordenar la corrección de una infracción. Las infracciones menores pueden generar multas de hasta 10 millones de euros o el 2% de la facturación mundial total, mientras que violaciones más serias pueden resultar en multas de hasta 20 millones de euros o el 4% de la facturación mundial total de la compañía”, señala Bonnati.

No obstante, a pesar de la amenaza de sanciones severas por su incumplimiento, solo el 19% de las empresas europeas cumplen el RGPD, según un reciente estudio de PAC/CXP Group. ¿Por qué a pesar de conocer las sanciones las empresas se arriesgan a no cumplir esta regulación? “El desafío para algunas compañías es encontrar e implementar un enfoque que cumpla con los requisitos del RGPD, al tiempo que se evitan las trampas comunes asociadas con actividades complejas que afectan los procesos, presupuestos, tecnologías y otros recursos del negocio. Las empresas históricamente han subestimado el trabajo requerido para lograr y mantener el cumplimiento”, mantienen desde Bonatti Penal & Compliance y señalan tres razones comunes para el incumplimiento:

1. Conciencia y comprensión. Las empresas pueden haber leído y escuchado miles de informaciones sobre el RGPD, pero a menudo carecen de conocimientos y de una comprensión detallada de los requisitos necesarios para lograr su total cumplimiento. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.
2. Asumir la responsabilidad. Tras familiarizarse con los requisitos establecidos en la regulación, las empresas descubren que no es sólo un problema asociado al departamento de tecnología de la información (IT). El reglamento se ocupa de la seguridad de los sistemas e infraestructura de IT, pero la responsabilidad no recae únicamente en este departamento y debe extenderse al conjunto de la empresa.
3. Escasez de recursos. No tener suficientes recursos financieros o humanos no debe obstaculizar la capacidad de una compañía para cumplir el RGPD. Las organizaciones a menudo subestiman la cantidad de recursos necesarios para su ejecución. Esto incluye no solo la cantidad de tiempo necesaria, sino las capacidades de las personas involucradas en los proyectos, los costes asociados y los riesgos inherentes a la ejecución incorrecta.

“Al implementar correctamente los requisitos del RGPD, las empresas pueden estar mejor preparadas para prevenir y detectar ataques contra sus bases de datos. Y es que invertir en el cumplimiento de RGPD puede ser el comienzo de una perspectiva de éxito completamente nueva”, concluye Bonatti.

Más información
⇒ En la web de Bonatti & Complliance, despacho especializado en Derecho penal económico, prevención del blanqueo de capitales y servicios de legal compliance
⇒ Seguir en Twitter a Francisco Bonatti (@bonattiabogado) y a @Bonattipenal