Empresas mexicanas, “a oscuras” ante aplicación de GDPR
A partir del próximo 25 de mayo, empresas –tanto grandes como pequeñas–, deberán cumplir con el Reglamento Europeo de Protección de Datos (GDPR) y si bien ésta es una regulación europea su aplicación es internacional y las empresas mexicanas deberán acatarla.
“No es una regulación solo para grandes empresas o para las empresas que están en Europa, aplica para todas las empresas que tengan relación con algún ciudadano europeo que accedió a sus servicios”, dijo Liliana González, Directora de Windows y dispositivos para Microsoft Latinoamérica.
Una aerolínea, cadenas de hoteles, firmas de manufactura de alguna automotriz europea o bien un pequeño comercio de diseño mexicano que vende alrededor del mundo vía comercio electrónico; todas estas empresas son susceptibles al reglamento GDPR.
Aunque la regulación se ha venido evaluando desde la aprobación de la ley en 2016, a unos meses de su aplicación internacional, expertos consideran que en México las compañías aún están “a oscuras” ante ella.
“En la experiencia que hemos tenido hay muchas empresas que ni siquiera conocen que hay un requerimiento de cumplimiento con esta regulación”, dijo Alejandro Soulé, especialista en seguridad y protección de datos para RSA México, en entrevista con Expansión.
Hay dos tipos de empresas. Las multinacionales que cuentan, por mandato de corporativo, con requerimientos que ya les obligan a cumplir en buena parte con lo que mandata esta ley y las empresas que no han avanzado o bien creen que esto no les aplica, explicó el especialista.
Soulé dijo que el cumplimiento tiene que ver mucho con el nivel de madurez de las empresas y de la percepción actual de que no existen consecuencias para todos en caso de no cumplir con una regulación de datos personales, como las legislaciones vigentes mexicanas.
“Con los clientes que he platicado, el tema de consecuencias tiene un peso importante porque en el tema del INAI sí se han visto algunos periodicazos o multas con algunos bancos, sector salud o particulares que han hecho mal manejo de los datos, pero no pasa de un daño reputacional o una multa. Nadie ha ido a la cárcel por esto”, dijo Soulé.
En México, 48% de las empresas, incumple al menos con uno de los requisitos que marca como obligatorios la Ley General de Protección de Datos Personales en Posesión de Particulares, según un estudio de 2017 de la consultora PWC.
A siete años de esta ley nacional, el avance ha sido poco, y de acuerdo con Soulé una de la razones es la poca firmeza en las sanciones.
En el caso de GDPR, de no cumplir la ley, la empresa se hace acreedora de una multa por 4% de sus ingresos anuales o bien 20 millones de euros.
“El tema de la ley de protección de datos sigue siendo muy desconocido en México, no entienden bien como aplicarlo y ahora con GDPR, las empresas tiene que darse cuenta que estos procesos deben robustecerse. Tenemos que darle visibilidad a las empresas porque el 25 de mayo está a la vuelta.”, dijo González de Microsoft.
Algunos de los primeros pasos que los analistas recomiendan para avanzar hacia GDPR es mapear y documentar los procesos con los que recaban datos, si dan servicio o no a ciudadanos europeos, saber en dónde (servidores) residen los datos y si estos inmuebles cumplen con la regulación.
Para comenzar a hacer estas acciones, Soulé, sugiere la formación de grupos en las empresas con especialistas para saber cómo cada área de negocio debe abonar para cumplir con las nuevas obligaciones.
