Cómo tiene que proteger tus datos tu empresa
Las compañías tienen hasta el 25 de mayo para revisar el consentimiento que han dado todos sus empleados para el uso de su información personal para evitar las multas millonarias de la nueva regulación europea.
Los datos que tienen las empresas de los trabajadores tienen más restricciones para su uso desde el próximo 25 de mayo. Entonces será de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD), que equipara los derechos en toda Europa aunque en España sigue tramitándose en el Congreso la nueva Ley Orgánica de Protección de Datos. La regulación europea endurece las multas tras las fugas de datos de gigantes como Facebook y el caso Cambridge Analytica y crea la figura del delegado de protección de datos. "No afecta a las personas físicas o autónomos sin trabajadores", ha explicado este miércoles Javier Blasco, director jurídico del grupo Adecco, en una jornada celebrada en Zaragoza. En ella ha dado una serie de orientaciones a los departamentos de Recursos Humanos de las compañías.
1. Dar el consentimiento expreso. La regulación europea que se aplicará ahora en España cambia el concepto de consentimiento para el uso de datos. Tiene que ser específico y expreso. "No vale el consentimiento tácito ni presunto", ha precisado Blasco.
2. Delegado de Protección de Datos. Se recoge esta nueva figura para supervisar el cumplimiento de la ley en las empresas con un uso masivo de datos, que trabajará con las ya existentes del responsable del tratamiento de los datos y el encargado del mismo. Para saber si se cumple con la nueva normativa aconseja analizar desde los contratos de trabajo a los que se celebran con proveedores. Advierte que el contrato laboral es "la base legal para el tratamiento de datos", pero no supone un consentimiento para todo. Para ceder datos a terceros, por ejemplo, para promociones o uso de la imagen, no sirven las cláusulas genéricas que se han incluido hasta ahora.
3. Nuevos datos sensibles. Deben tener más cuidado las empresas que realicen un tratamiento masivo de datos o que estos sean especialmente sensibles. Entre los datos personales especiales se añade a los tradicionales como la salud o el origen racial otros nuevos que incluyen los genéticos, los biométricos, las creencias filosóficas o la orientación sexual.
4. Formación. Las empresas tienen que formar a los trabajadores y que la nueva normativa llegue "al mayor número de personas porque la mayoría de los empleados tratan datos de carácter personal", ha apuntado. Se necesita una responsabilidad "proactiva". Plantea generar un "ADN" para potenciar la privacidad y que "cada trabajador se convierta en correa de transmisión". Ha pedido tener en cuenta a las personas y no solo a la tecnología, ya que "gran parte de las brechas de seguridad no tienen que ver con problemas técnicos sino con el comportamiento de las personas".
5. Sanciones millonarias. Las empresas se enfrentan a un endurecimiento de las sanciones. Las infracciones pueden llegar a ser de hasta 40.000 euros en el caso de las leves: hasta 300.000 para las graves y llegan a los 20 millones de euros o el 4% del volumen de negocio anual en las muy graves. En caso de producirse alguna fuga de datos, el consejo para las empresas es "autoinculparse" y comunicarlo a la Agencia de protección de datos para evitar sanciones mayores. Y todo ello en el plazo de 72 horas.
A la hora de afrontar los cambios en la empresa, Javier Blasco recuerda que "todo está inventado". Así, recomienda consultar las guías de la Agencia española de protección de datos disponibles en su página web. "Hay muchas cosas publicadas. No tenemos que complicarnos la vida", ha señalado.
