La apuesta por reforzar la privacidad
En mayo entra en vigor el nuevo reglamento europeo de protección de datos. La normativa, más garantista para el usuario particular, obligará a las empresas a destinar más recursos con el fin de evitar multas millonarias.
Para muchas empresas es el elefante en la habitación, la tormenta anunciada de antemano y la cefalea que nunca acaba, todo mezclado. El próximo 25 de mayo entrará en vigor de forma plena el nuevo reglamento general de protección de datos ?(RGPD), dos años después de que la Unión Europea aprobase el documento marco, y pocas compañías tienen todo atado. Entre otras cuestiones porque el Gobierno aún continúa tramitando la legislación española que adapta los resquicios que el reglamento europeo deja abiertos. Pero ¿qué supone y a quién afecta en mayor medida?
Por datos de carácter personal no solo se entiende el nombre y el apellido; abarca también desde el DNI a una dirección IP o la imagen de una persona. Su tratamiento se refiere a cualquier actividad que se lleve a cabo con ellos, ya sea captarlos, almacenarlos o transmitirlos.
¿Qué diferencias hay entre la anterior normativa y la que estará vigente desde mayo? Vicente Arias, socio de Eversheds Sutherland y experto en propiedad industrial e intelectual, ofreció hace unos días un taller con esta temática organizado por la Asociación para el Progreso de la Dirección (APD). Allí quedó claro cuál es el cambio más sustancial: frente a la posición pasiva respecto de la protección de datos una vez cumplidos unos requisitos que había hasta ahora se pasa a una actitud proactiva. Esto va a exigir más recursos a las empresas;en definitiva, más dinero.
Los principios se mantienen, aunque se añade uno esencial: el de responsabilidad proactiva o accountability, que implica la necesidad de documentar de forma constante y sistemática los distintos tratamientos de datos personales para justificar que se actúa conforme al RGPD.
Al menos hay una buena notica, y es que desaparece la notificación gratuita de ficheros ante el registro. Esto se sustituye por una obligación de comunicar los datos de contacto del delegado de protección de datos (DPO por sus siglas en inglés), una nueva figura que se crea y que será fundamental en esta nueva etapa.
El DPO, obligatorio para la administración pública para empresas que traten de forma masiva datos sensibles, puede ser empleado de la compañía o alguien contratado para este servicio; es independiente y dará cuenta directamente al máximo órgano de administración. Como explicó Arias en la mencionada jornada: "Tiene que llevar a cabo los análisis, exigir datos, educar al personal en el cumplimiento, reevaluar y gestionar las denuncias; todo el ciclo de vida y vuelta a empezar".
Con el nuevo reglamento, la obligación de documentar será mucho más extensa, e incluirá los fines del tratamiento, la categoría de datos y los afectados, las transferencias internacionales, las medidas de seguridad... Las empresas de menos de 250 trabajadores, eso sí, no tienen obligación de documentar el tratamiento, salvo que su actividad entrañe un riesgo para derechos y libertades de los interesados.
El eje vertebrador sigue siendo el consentimiento del usuario, aunque en este apartado también hay un cambio importante y que trae de cabeza a un gran número de compañías, ya que desaparece el consentimiento implícito (por ejemplo, cuando al usuario le aparece por defecto seleccionada la casilla de aceptar). Y no solo eso: todos los contactos obtenidos con este procedimiento en concreto, "el silencio, las casillas ya marcadas o la inacción" se considerarán nulos si no se renuevan de forma explícita.
Derecho al olvido
Entre los derechos de los usuarios, siguen los de acceso, rectificación, cancelación y oposición (ARCO) y se añaden dos sustanciales: el derecho al olvido y el derecho de portabilidad. El primero se aplica sobre todo para los motores de búsqueda (Google) y fue reconocido ya por el Tribunal de Justicia de la UE. Mientras, el segundo implica la capacidad del usuario de pedirle al portador de sus datos personales que los ponga a su disposición o que los transfiera a terceros.
Por otro lado, el reglamento es especialmente severo a la hora de reaccionar ante los incidentes de seguridad; es decir, ante las situaciones que comprometan la confidencialidad de los datos. La empresa tendrá en esos casos la obligación de comunicar el incidente a la Agencia Española de Protección de Datos (AEPD) antes de que transcurran 72 horas, e incluso a los propios afectados.
Además, en determinados casos las empresas deberán elaborar una evaluación de impacto sobre la protección de datos (en inglés, privacy impact assessment, o PIA), que tendrá que reflejar los riesgos y amenazas a los que se enfrenta un servicio o un producto desde que se pone en marcha.
Si hay un apartado que preocupa a las empresas más sensibles a la protección de datos es el de las sanciones, que con el nuevo reglamento suben de manera exponencial:las menos graves serán de hasta 10 millones de euros o un 2% de facturación global del grupo, mientras que las más severas llegarán a 20 millones o el 4% de la facturación.
En principio, los reglamentos europeos a diferencia de las directivas, que cada Estado ha de trasponer en ley se aplican directamente y de modo uniforme en todos los Estados miembros. Sin embargo, en algunos casos como este hay puntos abiertos para que los países los adapten. Uno de ellos es la edad mínima de los usuarios a partir de la cual se considera válido el consentimiento. El reglamento deja un margen de entre 13 y 16 años; España, según el proyecto de ley, la dejará en el mínimo (ahora está en 14 años).
A cuatro meses de la entrada en vigor, ¿cómo afrontan las empresas una tarea tan laboriosa?
"Nosotros nos estamos apoyando en un consultor externo para la implementación de todos los requerimientos", explican fuentes de Ibercaja. "Al ser un banco, nuestro volumen de información es exponencial: no tienes solo el número de tarjeta y el nombre; tenemos los flujos de entrada y salida, los niveles de endeudamiento Para nosotros esta normativa es especialmente exigente", añaden.
"Cambios relevantes"
En BSH apuntan que llevan "tiempo" trabajando en la adaptación a un marco regulatorio que en la compañía creen "necesario" unificar en toda Europa, como va a suceder con este reglamento. "Supone cambios relevantes que han supuesto revisar, y en su caso adaptar, desde contratos, cláusulas de información, formas de obtención del consentimiento, políticas de privacidad hasta la implantación de nuevas medidas de seguridad", indican fuentes de la compañía
El sector sanitario es uno de los más sensibles. "Toda la gestión de los datos, el acceso a la web, el contacto para soportes... todo hay que revisarlo. Recibimos un curso de formación para la teoría general, pero la gestión más potente la hemos externalizado. Hay muchos puntos que puedes incumplir por desconocimiento", admite Íñigo Flamarique, del laboratorio Ypsomed España, que recuerda también que "cada vez hay más software, más aplicaciones para pacientes, más datos que gestionar", lo que complica los trabajos.
Para las empresas más pequeñas las afecciones dependen del tipo de actividad que desarrollen. "Empezamos a cogerlo ahora", explica por su parte Luis Martínez, del Augusta Footgolf Calatayud, que reconoce que también se ha puesto "en manos de un profesional". "Estamos bien asesorados, no creo que vaya a ser difícil. Son cuestiones lógicas, solo hay que tener claro qué pasos hay que dar", añade.
