Buscar en este blog

martes, 28 de octubre de 2008

Grado de adaptación de las PYMES españolas a la legislación sobre protección de datos

Con motivo de la entrada en vigor en abril de 2008 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999 el Instituto Nacional de Tecnologías de la Comunicación (INTECO) estimó necesario diagnosticar la situación actual de las pymes españolas en cuanto a conocimiento y adaptación de la normativa referente a la protección de datos de carácter personal, prestando especial atención a las novedades previstas en el nuevo reglamento que afectan a ficheros no automatizados.
El resultado es el Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD).

Un informe que ofrece una visión sobre el nivel de cumplimiento de la normativa por parte de las pymes, identificando los frenos con los que se encuentran las pequeñas empresas en su proceso de adaptación, así como los beneficios para el negocio. Por último, formula recomendaciones a la administración y al sector privado, con el objetivo de incrementar la tasa de cumplimiento y remover o minimizar las posibles barreras a las que se está enfrentando la pyme.

Las conclusiones a las que llega el estudio son:

La normativa sobre protección de datos es escasamente conocida y no suficientemente implantada en el entorno Pyme. Así un 66% afirma desconocer la ley de protección de datos y un 85% manifiesta lo propio con respecto al Reglamento de Desarrollo.

En parte consecuencia del escaso conocimiento, el nivel de implementación de la normativa entre las pymes españolas es deficiente. La Agencia Española de Protección de Datos considera que sólo un 10-15% de las pymes españolas tienen sus ficheros con datos personales declarados ante el registro de la Agencia.

Detrás del limitado nivel de adopción se encuentra, aparte de una escasa cultura y concienciación sobre la necesidad de proteger los datos, la consideración por las pymes de que se trata de una obligación legal que implica tareas tediosas y complejas y que no aporta ningún valor añadido a su negocio, el desconocimiento de las consecuencias de incumplimiento, y la limitación de recursos humanos, económicos y técnicos para hacer frente a la adopción. Se trata, en su mayoría, de barreras declaradas por las propias pymes que en muchas ocasiones pueden ser fácilmente solventadas con acciones formativas concretas y efectivas.

Por todo ello, parece que la pyme española está aún alejada de estar en condiciones de afrontar el cumplimiento de las obligaciones de protección de datos de carácter personal: no conoce las obligaciones y todavía no ha valorado la situación e implicaciones internas del negocio.

En este contexto, es necesario un esfuerzo de concienciación y difusión por parte de todos los agentes implicados: las administraciones y autoridades competentes, que han de concienciar a las empresas sobre la necesidad de adaptarse a la normativa sobre protección de datos; el propio tejido empresarial (cámaras de comercio, patronales, asociaciones), que, como conocedor de primera mano de la realidad empresarial, puede ofrecer las soluciones de formación e información que mejor responden a las particularidades de las pymes; las empresas prescriptoras y facilitadoras (gestorías, consultoras), que están en condiciones de realizar un correcto diagnóstico sobre la situación de las empresas y planificar de forma eficiente su implantación; por último, la propia inercia del mercado contribuirá a generalizar el cumplimiento de la normativa sobre protección de datos entre el tejido pyme: a medida que se difunda entre la población el ejercicio de los derechos que la ley otorga a todo ciudadano, las empresas se adaptarán a lo dispuesto en la legislación sobre protección de datos.

Algunos datos para la reflexión

Un 66% de las empresas afirma desconocer la ley de protección de datos y un 85% manifiesta lo propio con respecto al Reglamento de Desarrollo.

Sólo un 16% de las pymes con ficheros automatizados los tienen declarados en la Agencia Española de Protección de Datos.

El 75 % de las empresas no aplica políticas específicas de seguridad a los datos personales en soporte electrónico y en soporte papel.

Más de dos terceras partes de las empresas declaran no cumplir con el deber de informar de la incorporación de sus datos a un fichero, de la identidad y dirección del responsable, de la finalidad del fichero, de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Poco más de la cuarta parte de las pymes dicen solicitar consentimiento, informando a los titulares de los datos sobre el tratamiento o serie de tratamientos concretos.

Un 70% de las empresas con ficheros automatizados no dispone de procedimientos para tener los datos actualizados, ni controles exhaustivos para tenerlos completos y exactos.

Un 10% de las empresas que recoge datos personales por medio de terceros no informa al titular.

Sólo un 20% de las empresas han establecido procedimientos para garantizar el ejercicio de los derechos acceso, rectificación, cancelación y oposición por los particulares; estos procedimientos no suelen estar definidos documentalmente, y se suelen gestionar con un importante margen de improvisación.

De las empresas que ha registrado sus ficheros ante la Agencia (sólo el 11% del total) un 90% dice tener un responsable de seguridad asignado, un 82% dispone de documento de seguridad, un 72% han divulgado la normativa de seguridad entre sus empleados; un 25% dispone de un registro de incidencias; un 89% dice tener un procedimiento de control de acceso a los ordenadores que contienen datos de carácter personal.

El 30% de las empresas con ficheros registrados cuentan con medidas de seguridad física para los sistemas de información

Solo un 35% de los encuestados dice contar con mecanismos que aseguran la conservación y localización de documentos en papel que almacenan datos de carácter personal.

Un 41% de las pymes española no contempla ninguna medida de protección física de sus documentos de papel. La medida más ampliamente implementada es la de guardar los ficheros en un cajón cerrado con llave (40%), seguida de un armario con llave (13%) y una habitación o despacho cerrado (6%).

Sólo un 12% de los encuestados dice contar con mecanismos contra la copia y reproducción de documentos que contienen datos de carácter personal.

El 78% dice no tener procedimientos probados de destrucción de los documentos de papel que contienen datos de carácter personal

Un 97% de los encuestados no ha establecido mecanismos para que sus ficheros no puedan ser accedidos o manipulados durante su transporte.

No hay comentarios: