La realidad española en Protección de Datos

El mundo empresarial mundial lo vamos a clasificar, para este artículo, en cuatro sectores: por un lado, las empresas multinacionales (por norma general grandes empresas de más de 250 empleados); las PYMES (generalmente sin presencia internacional); el tercer sector que puede reunir características del primero y del segundo, siendo éste el de las fundaciones, organizaciones sin ánimo de lucro, ONGs, etc.; y la Administración Pública.

En lo que respecta la Administración Pública, pudiendo ser sujeto de Derecho Privado también, no la incluiremos para nuestro análisis, pues no cabe duda que cumplen con la normativa, y si no lo hicieran, pronto lo harán y sin consecuencias.

Por lo que se refiere a las primeras, las grandes empresas, con o sin presencia internacional, así como las gigantescas multinacionales, no cabe duda que cumplen con la normativa de protección de datos a raja tabla. Disponen de su propio departamento, cuentan con Delegados de Protección de Datos, son carne de cañón para hackers, pero en definitiva, cumplen con la Ley.

Las PYMES en cambio, microempresas de 1 a 9 empleados, pequeñas de 10 a 49 o medianas de 50 a 249 empleados, así como los autónomos, son las que mayores dudas generan. Por norma general, muchas empresas de 10 o más empleados cumplen con la Ley de Protección de Datos, o algo hacen. El grueso del incumplimiento lo ostentan los autónomos y microempresas, pero con razón. Más adelante daremos cifras.

Por último, el tercer sector. Las organizaciones sin ánimo de lucro, fundaciones, ONGs, tienen de todo. Encontramos grandes ONGs, pero contadas con los dedos de una mano, que cumplen perfectamente con la Ley. Sin embargo, el mayor número se corresponde con las pequeñas que tratan de aportar algo a esta sociedad y que, además de ser sujetos obligados, tratan datos de carácter sensible y requieren un Delegado de Protección de Datos a nivel interno o externo indistintamente.

Los datos de incumplimiento de la Ley

Hay que recalcar un aspecto muy importante, tanto del RGPD como de la LOPD-GDD: el responsable del tratamiento es sujeto obligado y debe cumplir con la normativa vigente en materia de protección de datos. Un responsable del tratamiento es cualquier persona física o jurídica, autónomo o empresa, que trate datos de carácter personal para la prestación de una actividad o servicio. Aclarado este punto, vamos a los datos:

De todo el grueso de las empresas antes expuestas, la suma total de todas ellas en España está en torno a los 3 millones:

  • Las grandes empresas, con o sin presencia internacional, representan en torno a 4.500 del total.
  • Los autónomos en España son algo más de 1.5 millones.
  • Las microempresas representan algo más de 1.1 millones del total.
  • Las pequeñas empresas rondan las 150.000.
  • Las medianas poco más de 20.000.
  • El tercer sector suma casi 30.000.

Recapitulando lo visto anteriormente, podemos decir que cerca de 2.6 millones de empresas no cumplen, cumplen a medias, no conocen o no pueden cumplir con la norma.

 El intrusionismo

Ya advirtió la Agencia Española de Protección de Datos sobre el peligro de contratar servicios de asesoría en LOPD o RGPD a coste cero con los famosos cursos bonificables. Del mismo modo, especial atención merecen aquellas empresas que ofrecen el servicio a un precio insignificante puesto que en la mayoría de ocasiones nos encontramos con adaptaciones genéricas que no ofrecen ni la cobertura ni el cumplimiento necesario. Una asesoría o consultora en Protección de Datos ofrece eso: asesoramiento, no solo la adaptación, pues hay que mantener un documento normativo vivo, actualizado, contestar a los interesados, cumplir con los plazos de contestación, conocer las actualizaciones normativas, saber que o que no podemos hacer con determinados datos y un largo etcétera.

Plataforma virtual de ayuda

La AEPD puso a disposición de las empresas la herramienta Facilita, en su página Web. A través de ella podemos obtener un primer formato básico sobre la adaptación de nuestra empresa a la Ley. Introducimos una serie de datos y nos dirá si es posible utilizarla o no, es decir, está limitada a aquellas empresas o autónomos que traten datos personales muy genéricos. En caso contrario, nos dirá que debemos realizar un análisis de riesgo a nivel interno, la mayoría de los casos.

En esta situación las grandes perjudicadas son las empresas del tercer sector, pues siempre tratan datos de carácter sensible y requieren una adaptación algo más específica.

Las dificultades, no la intención

Y así es, no es la intención sino la dificultad que tienen los pequeños negocios de nuestro país. No puede ser que el 90% de las empresas españolas sigan teniendo dudas o desconozcan por completo la normativa. Al final constituyen el grueso y están en el punto de mira de las autoridad de control, la AEPD para nosotros. Todavía es necesaria mucha formación y, sobre todo, concienciación respecto al cumplimiento de la Ley de Protección de Datos para paliar las dificultades que ésta ofrece.