Encuesta sobre el nuevo RGPD: ¿Cuál es el nivel de conocimiento de las empresas españolas?

Desde el pasado mes de febrero, el equipo de Gerencia de Riesgos de Willis Towers Watson mantiene activa una encuesta para que los empresarios puedan autoevaluar su nivel de conocimiento y adaptación al nuevo Reglamento General de Protección de Datos. A pesar de que el nuevo reglamento entró en vigor el 25 de mayo, a la luz de los resultados parece claro que el RGPD sigue siendo una asignatura pendiente en nuestro país.

Estas son las principales conclusiones de la encuesta, en la que todavía estás a tiempo de participar.

1. No está demasiado claro a qué empresas afecta el RGPD

¿A qué empresas afecta el nuevo RGPD? La pregunta parece sencilla pero, sin embargo, solo el 61% de los participantes acertaron la respuesta. Estas eran las opciones:

1. A cualquier empresa que gestione datos de ciudadanos de la Unión Europea y cuya sede se encuentre en un país miembro.
2. A cualquier empresa que gestione datos de ciudadanos de la Unión Europea, independientemente de donde tenga su sede.

¿A ti también te surgen dudas? Pues bien: la respuesta correcta es la b). La sede es indiferente a ojos del nuevo reglamento, lo que importa es que la empresa gestione datos de ciudadanos de la UE.

2. Consentimiento libre, informado, específico e inequívoco

Respecto a cómo recabar el consentimiento de clientes o leads para procesas sus datos, parece que los encuestados lo tienen más claro: el 75% respondieron correctamente indicando que “las empresas tendrán que contar con el consentimiento libre, informado, específico e inequívoco de las personas”.

3. Las sanciones

Una de las novedades más controvertidas del nuevo reglamento tiene que ver con las sanciones que se impondrán a las empresas en caso de que lo incumplan. Aunque el 31% de los participantes aún no lo tienen muy claro, al responder que “la cuantía de la sanción oscilará entre 900 y 600.000 euros, en función de su gravedad”, el 69% restante parece ser consciente de los riesgos: “Podrán imponerse multas de entre un 2% y un 4% del volumen de negocios global de la empresa”, rezaba la respuesta correcta.

4. ¿Cuáles de estas situaciones se consideran una violación de la seguridad de los datos?

Con un % de aciertos del 27%, saber diferenciar entre situaciones que suponen una violación para la seguridad los datos se presenta como una de las asignaturas suspensas para mayoría de los encuestados. ¿Sabrías cuáles de las opciones son correctas?

1. Pérdida de un ordenador portátil con información sensible.
2. Borrado accidental de datos.
3. Compartir datos con una cláusula de confidencialidad (NDA), que incluya una cláusula adaptada al nuevo RGPD.
4. Acceso no autorizado del personal de la organización a una base de datos.

Pues bien, para acertar, tendrías que haber elegido las respuestas a), b) y c). Sí: un borrado accidental de datos también es una violación de la seguridad.

5. ¿Sabrías cómo actuar en caso de que se produjese una brecha de seguridad en tu empresa?

Un 58% de los encuestados sí sabrían reaccionar adecuadamente: “En un plazo de 72 horas, debo notificar a la autoridad de datos competente la violación de la seguridad de los datos, independientemente de la gravedad de la brecha”.

Sin embargo, el 42% restante se inclinó por respuestas incompletas a ojos del RGPD como “Debo resolver la brecha de seguridad y solo avisar a las autoridades en caso de que la incidencia persista” o “Dependiendo de la gravedad de la brecha, tendré que notificar la incidencia a las autoridades competentes en un plazo de 72 horas”.

6. El principio de la “responsabilidad activa”

Junto al concepto de qué se considera una violación de la seguridad, el de “responsabilidad activa” se presenta como otro de los aspectos del nuevo RGPD que generan más confusión a los encuestados.

1. Todos los responsables de datos deberán realizar una valoración del riesgo de los tratamientos de datos que realicen.
2. Las empresas responsables del tratamiento de datos deberán mantener un registro del mismo.
3. Las empresas que realicen tratamiento de datos están exentas de asegurar la seguridad de sus ficheros en función del análisis de riesgo.
4. Los responsables deben asegurar por defecto que solo se traten los datos necesarios en relación a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
5. La figura del delegado de protección de datos es un nombramiento aconsejado por el nuevo RGPD, pero no obligatorio.
6. Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de poner en marcha aquellos tratamientos que conlleven un alto riesgo para los derechos y libertades de los afectados.

Solo el 38% supieron seleccionar todas las correctas, que son la a), la b), la d) y la f).

7. El “derecho al olvido” se entiende mejor

Pues sí, a la luz de los resultados, parece que el derecho al olvido es un concepto bien comprendido por los encuestados. Nada menos que el 78% de ellos respondieron correctamente a la hora de definirlo: “Refleja el derecho de los ciudadanos a que se eliminen sus datos personales almacenados en casos de tratamiento ilícito o cuando la finalidad no esté clara”.

8. ¿Está clara la figura del delegado de protección de datos?

El 72% de los participaron conocen perfectamente cuáles son las funciones de esta nueva figura establecida como obligatoria por el RGPD. Así, el delegado de protección de datos “debe tener total autonomía en el ejercicio de sus funciones, estar relacionado con el nivel superior de la dirección y contar con todos los recursos necesarios para el desarrollo de su actividad”.

Como se aprecia en estos resultados, los profesionales tienen un buen conocimiento de ciertos aspectos de la nueva normativa, como lo relativo al derecho al olvido, al tipo de consentimiento que debe recabarse y la figura del delegado de protección de datos. Sin embargo, aún queda camino por recorrer para lograr que las empresas conozcan y se adapten completamente a un reglamento que empezó a imponer sanciones el día después de su puesta en vigor.

Y tú, ¿conoces el nuevo RGPD? Descarga la guía elaborada por nuestros expertos de la unidad de Gerencia de Riesgos para ponerte al día.

Compartir este artículo