Què és el que frena la llei de protecció de dades europea?

Fa poc més d’un mes que la Unió Europea (UE) va posar en marxa una nova regulació, de les més estrictes, sobre l’ús de les dades personals de qualsevol usuari. Aquest fet ha implicat que les empreses hagin de destinar més recursos per adaptar-se a la nova normativa. El Reglament General de Protecció de Dades (GDPR, per les sigles en anglès), que va entrar en vigor al Vell Continent al maig, ha canviat radicalment la forma en què les empreses poden recopilar, utilitzar i emmagatzemar dades personals.

Amb nous i amplis drets perquè els usuaris tinguin el control de com s’utilitzen les seves dades i perquè puguin decidir si aquests es comparteixen o s’eliminen, les companyies i els reguladors es veuen aclaparats per les reclamacions i queixes dels que coneixen més els seus drets sobre els mateixos.

Segons fonts consultades per Financial Times, grans empreses com Facebook o Google s’enfronten a multes de fins al 4% de la seva facturació global (al voltant de 20 milions d’euros) si es veuen afectats pel GDPR, a més de registrar un fort augment dels costos en l’atenció al client per les contínues preguntes dels usuaris.

“Les empreses de tecnologia, grups de mitjans, minoristes i bancs es troben entre els més afectats per la nova regulació causa de la gran quantitat d’informació personal que manegen sobre els seus clients”, explica Francisco Bonnati, soci director de Bonatti Penal & Compliance, que assenyala que en aquest escenari “tenir un programa de compliance ha deixat de ser una moda per esdevenir una necessitat”.

Els principals objectius del GDPR són harmonitzar la legislació de protecció de dades en tots els estats membres de la UE; garantir la protecció dels drets i llibertats fonamentals dels ciutadans; donar als propietaris de les dades control total sobre la seva informació personal, així com enfortir el nivell de compliment amb enfocament en polítiques i procediments; dotar d’una major seguretat i exposició de pràctiques febles posant més èmfasi en fluxos de dades segures; i introduir un nou règim d’execució amb multes més severes.

“Sota el GDPR les sancions per tenir una mala gestió de la privacitat de dades incorrecta poden ser greus. Les autoritats de Protecció de Dades per al compliment del GDPR poden emetre advertències i amonestacions, imposar prohibicions al processament, suspendre transferències de dades i ordenar la correcció d’una infracció. Les infraccions menors poden generar multes de fins a 10 milions d’euros o el 2% de la facturació mundial total, mentre que violacions més serioses poden resultar en multes de fins a 20 milions d’euros o el 4% de la facturació mundial total de la companyia”. No obstant això, tot i l’amenaça de sancions severes pel seu incompliment, només el 19% de les empreses del Vell Continent compleixen el GDPR, segons un recent estudi de PAC / CXP Group. Per què tot i conèixer les sancions les empreses s’arrisquen a no complir aquesta regulació?

“El desafiament per a algunes companyies és trobar i implementar un enfocament que compleixi amb els requisits de el GDPR, alhora que s’eviten les trampes comunes associades amb activitats complexes que afecten els processos, pressupostos, tecnologies i altres recursos del negoci. Les empreses històricament han subestimat el treball requerit per aconseguir i mantenir el compliment”, mantenen des de Bonatti Penal & Compliance i que assenyalen tres raons comunes per l’incompliment:

  • Consciència i comprensió. Les empreses poden haver llegit i escoltat milers d’informacions sobre el GDPR, però sovint no tenen coneixements i d’una comprensió detallada dels requisits necessaris per aconseguir la seva total compliment. En aquesta tasca, les companyies han de desenvolupar les responsabilitats de conscienciació i capacitació d’aquells dels quals depèn l’èxit del seu compliment.
  • Assumir la responsabilitat. Després de familiaritzar-se amb els requisits establerts en la regulació, les empreses descobreixen que no és només un problema associat al departament de tecnologia de la informació (IT). El reglament s’ocupa de la seguretat dels sistemes i infraestructura d’IT, però la responsabilitat no recau únicament en aquest departament i s’ha d’estendre al conjunt de l’empresa.
  • Escassetat de recursos. No tenir prou recursos financers o humans no ha d’obstaculitzar la capacitat d’una companyia per complir el GDPR. Les organitzacions sovint subestimen la quantitat de recursos necessaris per a la seva execució. Això inclou no només la quantitat de temps necessària, sinó les capacitats de les persones involucrades en els projectes, els costos associats i els riscos inherents a l’execució incorrecta.

“És per això pel que, en implementar correctament els requisits del GDPR, les empreses poden estar millor preparades per prevenir i detectar atacs contra les seves bases de dades. I és que invertir en el compliment de GDPR pot ser el començament d’una perspectiva d’èxit completament nova”, assenyala Francisco Bonatti.

TOTES LES NOTÍCIES