El nuevo reglamento, en vigor desde mayo de 2018, impone privacidad
La infracción podría acarrear una multa de hasta 20 millones de euros
La privacidad de la información sobre clientes y empleados es un factor que las empresas han de cuidar para asegurar la confianza y evitar ataques informáticos que puedan secuestrar o filtrar esa información. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la necesidad de mantener la privacidad se convertirá en una obligación y cualquier infracción podría ser multada con hasta 20 millones de euros o el 4% de la facturación anual del negocio.
Pero la realidad revela que estas sanciones no son suficientes para promover la adaptación, ya que un 70% de compañías europeas asegura que no logrará cumplir a tiempo con la normativa, según un informe de la entidad especializada en almacenamiento y procesamiento de datos NetApp Iberia.
Esta normativa también se aplica a la pequeña y mediana empresa que, ante el nuevo cambio de paradigma, se ha de adecuar con cierta rapidez a las nuevas exigencias. Entre ellas, destacan la obligación de informar sobre posibles infracciones o ataques y el nombramiento de un delegado de protección de datos en aquellas compañías que manejen datos sensibles o bases de información periódicas.
Programa de seguridad
El primer paso hacia la adaptación al reglamento "no es comprar herramientas o tecnología, sino que se ha de estudiar cuál es el programa de seguridad de la compañía, qué marco está preparado desde el punto de vista del cumplimiento, cuál es la política y procedimientos de protección de datos, así como asegurar que se tienen acuerdos sobre el tema y las notificaciones en orden", señala FitzPatrick, que añade que "es necesario comenzar construyendo la infraestructura alrededor de la protección de datos y construir un programa de privacidad acorde".
Para Cazorla también es importante "tener un registro del tratamiento de las actividades y medidas preventivas para que no ocurra un ataque". Para el director de innovación de Prodware España, las pymes "han de conocer qué datos manejan, en qué sistemas, quién tiene acceso a ellos y para qué se utilizan".
De cara a las exigencias del reglamento, destaca la obligación de notificar cualquier tipo de ataque que vulnere la protección de datos de una empresa. En este sentido, FitzPatrick indica que "va a forzar a las empresas a observar cómo utilizan los datos, entonces cualquier empresa que sufra una fuga de datos deberá ser muy transparente con ese error".
En el caso de España, "tiene unos ratios de seguridad mejores que otros países de nuestro entorno. Pero eso no significa que tengamos menos ataques, sino que no se publicita que se han tenido. El tener que notificarlos afecta más, no tanto por el impacto económico, sino por el impacto reputacional ante la opinión pública", analiza Cazorla".