Claves para proteger los datos conforme a la legislación

sta semana la Agencia Española de Protección de Datos, en colaboración con CEOE y CEPYME, de Facilita RGPD, ha presentado una herramienta para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018. Este consiste, como explica Eva Yáñez Gutiérrez, consultora de Seguridad y Cumplimiento de Ciberseguridad de Fujitsu, «en la protección de los derechos y libertades de los ciudadanos, y pone la responsabilidad de la protección de los datos personales en manos de los organismos que recogen, almacenan, analizan y gestionan esos datos. Comparándolo con la Directiva actual o la LOPD española, se trata de los mismos principios, pero se ha aumentado el alcance y aparecen nuevas obligaciones para los responsables y los encargados del tratamiento, que deben tener en cuenta todas las empresas y organismos que presten servicios a ciudadanos de la UE».

En lo que afecta a la pyme, Miguel Arias, socio responsable de KPMG Impulsa, expone que «la adaptación de éstas a esta nueva normativa puede ser, en principio, más sencilla que la de otras organizaciones o compañías, siempre y cuando no manejen datos de carácter personal a gran escala ni que puedan ocasionar un alto riesgo para los derechos y libertades de las personas físicas». Además, «deben poner medidas de seguridad adecuadas para evitar el impacto negativo que puede causar un acceso o un uso no autorizado de esos datos», subraya Yáñez.

Por su parte, desde Sistel, Nicolás López, su director de Área Business Platform que «según el RGPD se trata de “Toda información relacionada con una persona física identificada o identificable” (el “interesado”). Esa definición es tan amplia que es normal que la Pyme no alcance a entender las consecuencias de la falta de almacenamiento y custodia adecuada de ciertos datos. Los datos personales incluyen “identificadores online como direcciones IP e información recogida por cookies, si pueden vincularse con el interesado. Asimismo, incluye cualquier otra información que directa o indirectamente permita determinar la identidad de una persona, como por ejemplo elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social. No existe ninguna distinción entre los datos personales de un interesado que pudieran corresponder a distintos ámbitos (privado, público o laboral), estando todos ellos cubiertos por este reglamento».

evitar errores

Con todas las consideraciones previas y con los documentos y herramientas que faciliten a las pymes esta tarea desde la AEPD, pueden adoptar la legislación sin problemas. «Entre ellas podemos destacar la “Guía para Responsables de Tratamiento” que incluye un apartado específico destinado a la valoración de aspectos relevantes del RGPD para las Pymes, o la herramienta ‘‘Facilita’’, pensada para las micropymes», añade Arias. De esta forma, resulta fácil no caer en errores ni confusiones típicas, como «asociar una solución tecnológica al cumplimiento normativo. El Reglamento no obliga directamente a aplicar una solución tecnológica concreta, como puede ser el cifrado de los datos, aunque esta pueda ser recomendable en casos concretos», subraya Yañez.

Aquí, Arias enumera algunos de las confusiones: «de la lectura de la memoria de la AEPD de 2016 se desprende que buena parte de las denuncias o reclamaciones tienen su origen en defectos en la información a los interesados o en la base legal para los tratamientos (adecuada formalización de un contrato, consentimiento para el tratamiento, etc.) o en el ejercicio de los derecho que asisten a los afectados (acceso, rectificación, cancelación y oposición)». Porque esto puede desencadenar en infracciones con consecuencias más graves: «El RGPD y el anteproyecto de la nueva LOPD tipifican las siguientes infracciones como muy graves, entre otras: tratar datos personales sin contar con una base jurídica que lo legitime (i.e. consentimiento válido); la omisión del deber de informar a los afectados sobre el tratamiento de sus datos (finalidad, destinatarios, etc.); incumplir las obligaciones respecto del ejercicio de derechos por parte de los titulares de los datos; realizar transferencias internacionales de datos sin ofrecer las garantías y salvaguardias necesarias, etc.», añade el portavoz de KPMG Impulsa.

En cifras, estas infracciones son importantes, como desvela López: «Cualquiera sea el error puede generar una multa de un 2% de la facturación anual de la empresa del ejercicio anterior en caso de infracciones en materia de, entre otros aspectos, medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos. Aunque podría alcanzar 20.000.000 euros o un 4% de la facturación, en los más graves».