Según datos de Iron Mountain, sólo un 45% de la mediana empresa europea tiene activa una política para abordar el riesgo al que se enfrenta su información.
Esta semana ha habido votación en el Parlamento Europeo del paquete normativo de Protección de Datos, tras veinte años de vigencia del actual y su notoria obsolescencia. Para Ignacio Chico, Director General de Iron Mountain España “la nueva normativa afecta directamente a todos los temas relacionados con el permiso, la notificación de una brecha de datos y las consiguientes sanciones – hasta un 5% de la facturación global -, lo que significa un cambio drástico respecto a la legislación vigente”.
El Parlamento Europeo ha respaldado este miércoles un paquete legislativo que adapta la norma europea de 1995 sobre protección de datos al mundo de internet y las nuevas tecnologías. Las nuevas reglas buscan reforzar el control de las personas sobre sus datos, armonizando el nivel de protección en toda la UE. Los diputados han votado medidas más duras contra las empresas respecto al texto que recibieron de la Comisión.
La normativa incide fundamentalmente sobre las empresas, pero también acerca de las políticas de los Estados. Para Ignacio Chico, Director General de Iron Mountain España "es importante recordar que la protección de datos no es algo nuevo. Independientemente de la facturación, el sector o el país, garantizar que la información sobre empleados y clientes esté protegida convenientemente debería ser una práctica habitual y no solo una reacción ante nuevos cambios legislativos. Así, las empresas deben ver este anuncio como una llamada de atención y aprovechar el tiempo para revisar y reforzar sus políticas de gestión de la información con el fin de situarse en una posición adecuada para cumplir completamente con los cambios legislativos antes de que éstos entren en vigor".
El paquete legislativo está formado por dos propuestas:
a) un reglamento general que cubre la práctica totalidad de los datos procesados en la Unión Europea, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.
b) una directiva de mínimos que reemplaza una decisión marco del Consejo de 2008 y se aplica a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros. Sin embargo, la nueva norma abarcaría también los datos procesados por las autoridades dentro de cada país.
Los puntos esenciales son los siguientes:
- Derecho al olvido
- Consentimiento explícito
- Análisis del perfil y el comportamiento
- Transparencia, empresas y autoridades públicas
La Comisión Europea defiende que los ciudadanos puedan solicitar que sus datos sean borrados si no desean que los sigan procesando. Algunos eurodiputados proponen borrar este derecho porque consideran que es imposible aplicarlo.
La Comisión Europea propone que una empresa pueda procesar información personal sólo si antes ha obtenido el permiso de la persona afectada. Tal permiso puede ser retirado en cualquier momento.
Los datos personales se analizan de manera automática para predecir el comportamiento de las personas en su trabajo o en tanto que consumidores, la evolución de su situación económica, de su salud, de sus gustos, etcétera.
Las empresas y las autoridades públicas deberían explicar con claridad sus políticas de protección de datos y disponer de un responsable si cuentan con al menos 250 empleados, según la propuesta de la Comisión Europea. El eurodiputado Jan Philipp Albrecht cambia este criterio al defender que esta medida se aplique a empresas que procesen datos de al menos 500 personas al año.
Según un reciente estudio de Iron Mountain, las empresas están preocupadas y confusas por cómo gestionar sus datos, cumpliendo a la vez con la legislación vigente. Un 36% de las medianas empresas en Europa y un 22% en España admiten estar almacenando toda la documentación, independientemente de las directrices de conservación de documentos, solo por si la necesitan alguna vez. Más de la mitad de las empresas europeas (54%) creen que los requisitos para la protección de datos están cambiando tan rápidamente que nunca serán capaces de mantenerse actualizadas.
Qué sanciones establece el Reglamento en trámite para las empresas
Las empresas que incumplan las obligaciones establecidas en el Reglamento sufrirán como mínimo una de las sanciones siguientes:
- Advertencia escrita en el caso de un primer incumplimiento no deliberado
- Auditorías periódicas de protección de datos
- Una multa de hasta 100 000 000 euros o el 5 % de su volumen de negocios anual a escala mundial en el caso de una empresa, si esta última cifra fuera mayor
La sanción administrativa tendrá en cuenta, entre otros, los siguientes factores:
- la naturaleza, gravedad y duración de la infracción;
- la intencionalidad o negligencia en la infracción;
- el grado de responsabilidad de la persona física o jurídica y de las anteriores infracciones cometidas por dicha persona;
- el carácter repetitivo de la infracción;
- el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
Ignacio Chico, Director General de Iron Mountain España afirma que "los consumidores van a dar la bienvenida al hecho de que el Parlamento Europeo haya votado la primera revisión de la ley de protección de datos desde 1995, pero probablemente esta votación haya sembrado inquietud entre muchas empresas europeas. La realidad es que muchas de ellas siguen sin estar preparadas, como lo demuestra un reciento estudio que revela que sólo un 45% de la mediana empresa europea tiene activa una política para abordar el riesgo al que se enfrenta su información. Esta revisión de la Unión Europea ha de ser un recordatorio para que estas empresas sean conscientes de que una legislación más dura está a punto de hacerse realidad".
" La nueva normativa -sigue Ignacio Chico- afecta directamente a todos los temas relacionados con el permiso, la notificación de una brecha de datos y las consiguientes sanciones – hasta un 5% de la facturación global -, lo que significa un cambio drástico respecto a la legislación vigente. Las empresas que fracasen en dar una solución a estos retos ahora, no solo corren el riesgo de tener que afrontar cuantiosas multas en el futuro próximo, sino que también podrían enfrentarse a serios daños para su reputación, lo que haría peligrar la retención de sus clientes".
