blog de OBS Business School

Informe OBS: Las PYMES están lejos de alcanzar un nivel de implementación satisfactorio del RGPD

Informes |

  • La implementación de estas nuevas medidas debía estar totalmente desarrollada antes del 25 de mayo de 2018

  • Este nuevo marco de regulación requiere proactividad por parte de la empresa para cumplir con todas las obligaciones impuestas por el reglamento

  • La importancia para las empresas de los datos personales es percibida en un 90%, pero las obligaciones que deben implementarse para su cumplimiento son percibidas como un esfuerzo económico no necesario


El RGPD ha supuesto un cambio de paradigma para las empresas en el cumplimiento de la normativa de protección de datos personales. Este nuevo marco de regulación ha requerido de una proactividad por parte de las empresas para cumplir con todas las obligaciones impuestas por el reglamento.


El 25 de mayo de 2016 se aprobó el Reglamento General de Protección de Datos Personales (RGPD). Esta norma, a pesar de las críticas recibidas, supuso un claro avance en la protección de datos en el territorio de la UE. La propia norma establecía que su aplicación efectiva sería el 25 de mayo de 2018. Se fijó, por tanto, un periodo de dos años para que todos aquellos responsables de tratamientos de datos adaptasen sus organizaciones al mismo.


Esta nueva normativa ha tenido una repercusión elevadísima, atendiendo a la gran utilización que se hace por parte de las grandes empresas y las pymes de datos personales. La información se ha convertido en uno de los activos más importante de las empresas actuales. La importancia para las empresas de los datos personales es percibida por la mayoría. Sin embargo, las obligaciones que deben implementarse para su cumplimiento son percibidas como un esfuerzo económico no necesario. En este sentido, destaca la ausencia de una fuerte “cultura de la protección de datos”, así como de los beneficios que puede aportar, no solo para el cumplimiento del RGPD, sino también para la propia empresa.


Esta nueva visión de la protección de datos debe ser considerada como un factor de valor añadido para las empresas, no como una obligación para evitar las elevadas sanciones que impone el reglamento. Ya que en aquellos casos que no se haya producido esta adecuación se puede incurrir en infracciones y multas administrativas que pueden llegar, según el caso, a 20 millones de euros como máximo, o tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.


En el caso de las empresas de gran tamaño, estas nuevas obligaciones han podido ser asumidas con mayor facilidad, sin embargo, para las PYMES este nuevo modelo de protección de datos supone una elevada carga económica y organizativa. Un año después de que el reglamento sea plenamente aplicable, se puede señalar que las empresas, especialmente las PYMEs, todavía está lejos de alcanzar un nivel de implementación satisfactorio del RGPD.