Según un informe de Compuware, el 68% de las empresas europeas y estadounidenses no ha puesto aún en marcha planes para adaptar sus políticas de privacidad a la normativa del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), aprobada por la Unión Europea el pasado mes de abril. El estudio señala que este porcentaje es, en el caso de España, del 56%, lo que contrasta con el hecho de que el 72% de las compañías españolas manifiesta estar bien informada sobre la nueva normativa y su impacto en la gestión de los datos de sus clientes (20 puntos más que la media mundial).
Según el informe, en el que han participado más de 400 directores de TI de grandes compañías de España, Francia, Alemania, Italia, Reino Unido y Estados Unidos, entre los factores que, a juicio de las empresas españolas, dificultan el cumplimiento del GDPR destacan: la mayor complejidad de los sistemas de TI (80%) y la necesidad de gestionar el consentimiento explícito de los clientes para utilizar sus datos (56%). La proliferación de nuevas aplicaciones en entornos Agile y DevOps, la creciente tendencia a recopilar mayores volúmenes de datos de los clientes y la externalización de servicios son otras de las barreras enumeradas por los participantes en el estudio.
La norma no solo afecta a las empresas nacionales y europeas, ya que algo más de la mitad (52%) de las compañías estadounidenses albergan datos de clientes europeos y están obligadas cumplir con la nueva regulación.
Gestión del ‘derecho al olvido’
El estudio destaca que el incremento de los volúmenes de datos sobre los clientes es un hándicap para cumplir con el mandato del ‘derecho al olvido’ establecido en la norma europea. De hecho, y según el informe de Compuware, el 52% de las empresas españolas afirma que la complejidad de los actuales servicios de TI obstaculiza conocer en cualquier momento dónde se encuentran los datos de sus clientes. Las empresas también señalan que las relaciones con empresas subcontratadas (64%) y la tecnología móvil (48%) dificultan aún más la trazabilidad de los datos de sus clientes.
A pesar de estas trabas, algo más de tres cuartas partes (76%) de los directores de tecnología españoles asegura poder localizar rápidamente todos los datos personales, cifra muy superior a la media del 51% del resto de empresas internacionales incluidas en el estudio.
“Para cumplir con el GDPR, las empresas necesitan controlar estrictamente dónde residen los datos de sus clientes”, asegura la doctora Elizabeth Maxwell, miembro de la IAAP y directora Técnica de Compuware para EMEA. “Sin este férreo control en el conjunto de sus sistemas, las empresas malgastarán incontables horas de trabajo en búsquedas manuales de los datos de aquellos que quieran ejercitar su ‘derecho al olvido’ y, aun así, no garantizarán la identificación de cada copia de esos datos, quedando en riesgo de incumplimiento”.
Pruebas del software con datos en producción
Un aspecto destacable de la nueva normativa europea es el que hace referencia a la obligatoriedad de enmascarar los datos de los clientes cuando son usados para la realización de pruebas del software y actualmente sólo el 52% de las empresas afirma actuar de esta manera.
Por otro lado, y según el informe de Compuware, el 92% de las empresas españolas usa datos reales de sus clientes a la hora de probar sus aplicaciones y solo una de cada cuatro (24%) solicita su consentimiento explícito para ello. Por último, el 40% afirma que es especialmente complicado saber dónde se localiza la totalidad de los datos de pruebas. A este respecto, muchas empresas confían en los acuerdos de confidencialidad firmados con terceros o con sus propios empleados, o en los consentimientos explícitos de los clientes y olvidan que con ello no cumplen con la nueva normativa, exponiéndose al riesgo de graves sanciones.
Según Compuware, la nueva normativa europea exige a las empresas mejorar sus políticas de privacidad y sus capacidades de gestión de los datos de prueba en el conjunto de sus plataformas, incluyendo el mainframe que es donde reside la mayoría de los datos de sus clientes, como es el caso de España, donde el 72% de las empresas los almacena en este entorno.
“El uso de datos reales para probar aplicaciones es bastante usual, pero la primera tarea es despersonalizarlos”, ya que aquellas empresas que no los enmascaren convenientemente serán multadas sin contemplaciones por los reguladores europeos” –apunta Elizabeth Maxwell–, además de ser el mejor camino para proteger la información de los clientes, anonimizar los datos a la hora de hacer pruebas elimina la necesidad de conseguir el consentimiento explícito de los clientes para utilizar sus datos que es, para algo más de la mitad de las empresas españolas, uno de los mayores obstáculos para el cumplimiento de la nueva norma”.
Al menos en España, la protección de datos se toma muy a la ligera…