Solo el 10% de las empresas españolas cumple con el GDPR

Únicamente el 10% de las empresas españolas cumplen con el GDPR (General Data Protection Regulation) actualmente a pesar de haber contado con dos años para adaptarse a la nueva normativa según se desprende del último informe de IDC Research España sobre el estado del cumplimiento normativo del GDPR.

Solo el 10% de las empresas españolas cumple con el GDPR

A la principal conclusión de que solo el 10% de las empresas cumplen con el GDPR hay que sumar que un 25% de empresas que tienen planes sólidos para asegurar el cumplimiento en mayo de 2018. Por tanto, el 65% restante no cuenta con una estrategia para cumplir con el GDPR a día de hoy. Es decir, la mayoría de las empresas españolas está iniciando ahora su viaje hacia el nuevo marco normativo.

Estos datos se encuentran ligeramente por debajo de la situación europea, donde el 18% de las organizaciones ya cumple con la legislación. A la cabeza del continente se encuentran Alemania (26%), Reino Unido (24%) e Italia (20%). Las empresas españolas tienen, por tanto, que aumentar sus esfuerzos si no quieren quedarse atrás.

Sin embargo, la situación es cada vez más positiva, ya que una de cada 3 empresas españolas considera la nueva regulación como una ventaja competitiva o una oportunidad para mejorar la eficiencia o la revisión del gobierno de la información”, apunta Laura Castillo, analista senior de IDC Research España.

Los principales motivos detrás de la falta de cumplimiento son el conflicto de prioridades (56%), la limitación de recursos (49%), la ausencia de presupuesto (46%) y el desconocimiento (42%).

Aunque el 96% de las empresas encuestadas ha oído hablar del GDPR, muchas todavía tienen dudas sobré cómo aplicarlo (59%): qué datos tienen que proteger, cómo tienen que gestionarlos o qué medidas de seguridad necesitan implementar. “GDPR regula la recopilación, el almacenamiento y el uso de “datos personales”, es decir, cualquier información que sirva para identificar a una persona natural. Esto abarca desde conceptos tan fácilmente identificables como el nombre o el email, pero también una dirección IP, la información procedente de cookies”, explican desde IDC Research España.

GDPR es un reto reputacional, más que económico

Según IDC Research España, el GDPR es un reto reputacional más que económico (a pesar de que las multas son considerables: hasta el 4% de la facturación mundial o 20 millones de euros, lo que sea mayor) puesto que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa, con el consecuente perjuicio al negocio.

Para evitar ese daño reputacional, cumpliendo con el GDPR, las empresas deben afrontar una serie de retos como son los relacionados con los requerimientos o con la clasificación de los datos. IDC Research España estima que en torno al 70-80% de los datos de una empresa son “datos oscuros”, es decir, datos sobre los que la organización no tiene visibilidad, por tratarse de duplicaciones o porque forman parte de contenido desestructurado, entre otros motivos. Esto dificulta su localización y gestión.

Las organizaciones también consideran un reto la prevención de pérdidas de datos (53%), es decir, asegurar que los usuarios finales no envían información sensible fuera de la red corporativa. “Para ello es fundamental las iniciativas de formación y concienciación de los empleados”, apostilla Laura Castillo de IDC Research España.

Apostar por la nube sin prever el impacto del GDPR

Una de las principales preguntas de las empresas es cómo va a afectar GDPR a cloud. Muchas organizaciones temen introducir un factor de riesgo adicional que no puedan controlar adecuadamente, y quieren evitar los requisitos contractuales complejos. Aun así, un 53% de las organizaciones va a continuar apostando por la nube sin considerar el impacto del GDPR.

El resto de las organizaciones, por el contrario, sí van a condicionar su estrategia cloud, migrando sus servicios a proveedores en España (23%), Europa (4%) o directamente a un datacenter propio (6%).

Es muy importante que los usuarios de servicios cloud sean conscientes de que no se puede subcontratar la responsabilidad del cumplimiento de GDPR a un proveedor de servicios.  Eso no exime a los proveedores de aplicar las medidas de seguridad necesarias y comunicárselo a sus clientes”, subrayan desde la consultora.