Cuatro de cada diez empresas europeas incumplen la nueva ley de protección de datos
Si se aplicase, más del 40% de las empresas de tamaño medio que operan en la Unión Europea pagarían multa por infringir la Ley de Protección de Datos que entró en vigor el pasado 25 de mayo. Por suerte para ellas, una moratoria de dos años permite a las empresas acometer los cambios necesarios para adaptarse a ella.
La conclusión principal del estudio que la consultora PwC ha llevado a cabo a petición de Iron Mountain es clara: cuatro de cada diez empresas no tratan nuestros datos como deberían. Y aproximadamente el 11% de las compañías medianas -las que cuentan entre 250 y 2.500 empleados-, conservan todos o casi todos los archivos sin tener en cuenta las directrices oficiales de conservación ni las leyes propias de cada país.
“Esto les hace difícil, si no imposible, identificar la información sensible que no tienen derecho a guardar indefinidamente”, asegura el estudio. La compañía de gestión de información Iron Mountain también señala que las empresas con 10 años o más de vida cuentan con una mayor probabilidad de estar incurriendo en el delito por el mero hecho de ser más antiguas.
“Saber qué información hay que conservar y durante cuánto tiempo es algo complicado para muchas empresas europeas, ya que hay diferentes reglas para diferentes tipos de información en diferentes países”, explica el director en Europa de la firma, Gavin Siggers. El 89% de esas empresas, según los datos de Iron Mountain, estarían reteniendo esa información para hacer uso de ella en el futuro y el 87% dice que lo hace para proporcionar una red de seguridad para el panorama regulatorio cada vez más complejo que está por llegar.
Según la compañía de gestión de datos, el 42% incumple la ley para así responder ante gobiernos con solvencia en el caso de que les sean solicitada alguna prueba electrónica (e-discovery). Se refieren a todos esos datos que pueden presentarse en un juicio dentro de un proceso legal. “Entraña tanto riesgo conservar algo durante demasiado tiempo, como pueden ser datos personales o solicitudes de trabajo sin éxito, como lo es destruir algo demasiado pronto, como puede ser la correspondencia por correo electrónico o datos médicos o de seguridad que pueden necesitarse para procesos legales”, continúa Siggers.
Nueva Ley de Protección de Datos (once años después)
El artículo 23 de la nueva Ley de Protección de Datos que entró en vigor en mayo, especifica que hay que tener en cuenta los periodos de retención para todo tipo de información -ya sean emails, mensajes de WhatsApp, Telegram o contratos y peticiones- desde el momento en el que se crea. Las empresas que no cumplan con la legislación podrán ser multadas con hasta un 4% de su facturación anual o 20 millones de euros.
La Ley de Protección de Datos será aplicable a partir del 25 de mayo de 2018. Hasta entonces, cada Estado de la UE, junto con sus Administraciones públicas y empresas podrán realizar todas las modificaciones y ajustes que consideren pertinentes para adaptarse a la nueva norma. En España, la Ley Orgánica de Protección de Datos (LOPD) seguirá vigente, pero será “desplazada normativamente” cuando se oponga a la regulación europea.
Cuatro años después de proponerlo, la Comisión Europea ha visto cumplidas sus expectativas el pasado abril, cuando la nueva ley fue aprobada. Será sustituida por la norma de 1995, aprobada cuando Internet aún estaba en pañales. Algunas de las disposiciones de la nueva regulación serán:
- El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
- La necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales.
- La “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.
- El derecho a ser informado si los datos personales han sido pirateados.
- Lenguaje claro y comprensible sobre las cláusulas de privacidad.
Una ley puede consultarse en el diario oficial de la UE y que regula el uso que las empresas tendrán que hacer de nuestros datos, ahora con fecha de caducidad. “Para conseguir esto será necesario que las empresas grandes y pequeñas sepan qué información tienen, dónde está y cuánto tiempo pueden conservarla de forma legal”, concluye Siggers.