La pyme española muestra un bajo nivel de conocimiento de la normativa sobre protección de datos, tanto de la LOPD, vigente desde 1999 (34%) como del reciente reglamento de desarrollo (RDLOPD), en vigor desde abril de 2008 (14%). Dado que la ley lleva en vigor casi diez años, que su aplicación es de obligado cumplimiento para todas las empresas con ficheros de datos personales, y que se prevén sanciones ante su incumplimiento, preocupa el escaso conocimiento de la misma entre el colectivo pyme. De hecho, prácticamente la totalidad de empresas manejan datos personales: el 96% de las pymes españolas disponen de ficheros con datos de carácter personal (ya sea en sus sistemas informáticos o en sus archivos en papel) y están por tanto potencialmente sujetas a la normativa.
Se muestran a continuación algunos datos clave sobre el nivel de adopción de la normativa sobre protección de datos en el entorno pyme:
Un 37% afirma haber declarado sus ficheros ante la AEPD; la verificación posterior confirma que sólo un 16% de las pymes ha notificado efectivamente los ficheros ante el Registro General de Protección de Datos. Este dato es coherente con la postura de la AEPD, que estima que el nivel de cumplimiento de la obligación entre las pymes es de entre el 10 y el 15%. El desfase entre declaración y situación real confirma la existencia de un alto sesgo (motivado por el objeto del estudio: nivel de cumplimiento de una ley) y hace sospechar que el resto de resultados pueden verse afectados por este mismo sesgo.
• El nivel de cumplimiento declarado de las principales obligaciones previstas en la LOPD se mueve en torno al 20-30%. Si se asume un cierto sesgo en las respuestas, el nivel sería todavía más reducido. Algunos de los datos más relevantes son:
o Empresas que cumplen con el deber de información: 29%
o Empresas que cumplen con el deber de consentimiento: 29%
o Empresas que disponen de datos personales completos y exactos: 28%
o Empresas que han establecido procedimientos para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) por los particulares: 20%.
• El cumplimiento no es homogéneo entre las diferentes medidas de seguridad previstas en el reglamento. Éste se ha analizado sólo para las empresas que afirman haber declarado sus ficheros ante la AEPD, y oscila entre un 25% para las medidas menos implementadas y un 90% para las más exitosas. A continuación se enumera el nivel de cumplimiento de algunas de las medidas analizadas:
o Empresas que disponen de documento de seguridad: 82%
o Empresas que han divulgado la normativa de seguridad entre sus empleados: 72%
o Empresas que cuentan con un registro de incidencias: 25%
o Empresas que tienen implantado un control de acceso: 89%
o Empresas con usuario y contraseña: 48%
Por lo que respecta al comportamiento de las pymes con respecto a ficheros no automatizados, el 20% tiene establecidas medidas de seguridad equivalentes en el caso de ficheros automatizados y no automatizados, y el 23% afirma clasificar su documentación en papel en función de la confidencialidad del contenido. Aunque no se trata de una exigencia normativa, supone un indicio de que un 20% del tejido pyme español muestra una especial sensibilización hacia el tratamiento
de ficheros con datos personales en soporte papel, y por tanto parece que entre ellas la adaptación a las disposiciones del reglamento resultará, a priori, sencillo.
• A pesar de que los datos sobre nivel de cumplimiento son ciertamente mejorables, el mensaje final lanzado por las pymes es positivo: un 82% manifiesta estar concienciada sobre la necesidad de cumplimiento de la normativa, y un 79% afirma que destinará recursos (humanos y económicos) para su implementación.
Queda mucho por hacer !!!
Informe completo AQUI
