Con el fin de aclarar las dudas más importantes de la inmensa mayoría de las organizaciones españolas, Unisys ha recopilado los nueve bulos que más se han escuchado en los últimos meses en diferentes foros en los que se ha tratado la nueva legislación:

1. “Me pueden multar desde 300.000 euros a un 4% de facturación con un máximo de 20 millones, es lo peor del GDPR” - Sólo aquellas organizaciones que no cumplan el reglamento o no notifiquen sobre el robo o perdidas de datos que involucren a los derechos y libertades de las personas serán sancionadas. Sin embargo, sí es importante tener en cuenta que habrá más advertencias, reproches públicos y peticiones de correcciones que harán que la imagen corporativa pueda ser dañada hacia sus clientes y provocar una merma mayor en el negocio de la empresa.
2. “GDPR sólo tiene que ver con los datos digitales” - GDPR involucra a toda la empresa, no solo al departamento de tecnología: afecta desde cómo y dónde apuntamos las personas que pasan por recepción, hasta los procesos por los que recorre la información en nuestra empresa, incluso los papeles que se dejan encima de las mesas.
3. “Los datos personales que tenemos en nuestros sistemas antes del 25 de mayo no tenemos por qué tratarlos” - Toda la información que tenga la organización en su poder sobre datos personales, sea histórica o nueva, debe alinearse con los preceptos de la nueva norma. Los únicos datos que no se verán afectados son los relacionados con fallecidos, ya que en ese caso la regulación GDPR no se aplicará. No hay que olvidar los consentimientos informados que se deben adquirir, de no tenerlos aún, de forma fehaciente.
4. “Mis servicios me los proporciona terceras empresas en cloud: que cumplan ellos” - Cualquier dato al que acceda una persona de la organización, ya sea para visualizarlo, manipularlo, tratarlo o modificarlo es susceptible de verse afectado por el GDPR, aunque es importante asegurarse de que el proveedor de cloud cumpla con la norma
5. “Como DPO…, como soy pyme, pondré a un familiar y resuelto” - GDPR no fija la capacitación mínima para desempeñar la función de DPO, pero deja en manos de la empresa que dicho nombramiento se realice teniendo en cuenta que se está seguro de la capacitación del mismo, por lo que se recomienda contar con un DPO certificado o subcontratarlo como servicio.
6. “GDPR sólo es un problema europeo”- Cualquier organización que trabaje con datos de los ciudadanos europeos debe cumplir con la reglamentación, sea o no miembro de la Unión Europea.
7. “No pasa nada porque quede menos de un mes: esto es rápido de implantar” - GDPR es un cambio de filosofía: afecta a cómo conseguir los datos, procesarlos, almacenarlos e incluso a quién puede acceder a ellos, sin importar el soporte en el que se encuentren almacenados dichos datos, por lo que afecta también culturalmente a la empresa y cuanto antes se empiece, antes se comprenderá el alcance.
8. “Yo ya he contratado una auditoria de GDPR y me han entregado el certificado de que mi empresa cumple” - No existe un certificado de cumplimiento de GDPR. El enfoque de evaluar una empresa se corresponde al anterior marco legal. El GDPR exige analizar tratamiento a tratamiento y cada propósito del tratamiento. Muchas empresas se han planteado una estrategia incorrecta, intentando adaptarse desde la anterior norma, lo cual presupone un alto riesgo de incumplimiento.
9. “Ya he renovado todos los consentimientos de mis trabajadores, clientes y proveedores” - Muchas empresas han realizado un esfuerzo en renovar los consentimientos y esto es un grave error que puede ocasionar serios problemas de gestión y hasta incumplimientos del GDPR ya que, en muchos casos, basar el tratamiento en el consentimiento del interesado es, en sí mismo, un incumplimiento del GDPR.

“Se pueden encontrar empresas que realizan auditorías GDPR sin ningún tipo de formación legal ni certificaciones, por lo que las empresas asesoradas pueden estar perdiendo dinero y enfrentándose a multas importantes”, destaca Manuel Jiménez Iturbide, gerente desarrollo de negocio de Unisys España.

Por su parte, Florencio, CEO de ANF AC, señala que “cumplir el GDPR requiere tener conciencia de la importancia de la protección de datos y un conocimiento experto. La organizaciones deben de asumir un plan estratégico de sensibilización y formación del personal, ya que la simple elaboración de un Plan de Evaluación de Impacto lo único que puede llegar a acreditar es el incumplimiento del GDPR”.

Con el objetivo de ayudar a las organizaciones que aún tienen que adaptarse para cumplir el GDPR, Unisys, junto a Avasant,Papyrum y Hopla Software, ha creado un porfolio homologado por ANF Autoridad Certificadora, primera entidad certificadora GDPR europea. Más información en www.unisys.es