Tecnologías de la Información

Ley de Protección de Datos, un hueso duro para las empresas

Las sanciones que se podrán ejecutar a partir del viernes, pueden alcanzar los 20 millones de euros o el 4% de la facturación anual

Ley de Protección de Datos, un hueso duro para las empresas
Ley de Protección de Datos, un hueso duro para las empresaslarazon

El Reglamento de Protección de Datos deberá ser adoptado por todas las empresas a partir de su entrada en vigor el 25 de mayo. No obstante, sólo el 35% considera que cumplirá con la legislación llegada esta fecha. Las compañías deberán realizar evoluciones de impacto en casos de mayor peligro, presentar medidas de seguridad o especificar para qué se usan los datos.

El mundo empresarial se ha convertido en un enjambre de datos. La información personal de los clientes, sus hábitos de consumo o sus intereses, se van acumulando en los ordenadores de las compañías al ritmo que aumenta la preocupación por la seguridad de estos datos. Las filtraciones masivas de los últimos meses; como la protagonizada por Facebook y Cambridge Analytica, la de las contraseñas de Twitter, o la de Alteryx, que afectó a más de 120 millones de personas; son un avisos de lo expuesta que está la información. Bruselas no le quita ojo a este problema y ha extendido un nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el próximo viernes.

La normativa será más exigente con las empresas, que no están preparadas para asumir la directiva continental. El estudio «Cómo acelerar el cumplimiento del RGPD», de la consultora IDC y Microsoft, indica que sólo el 10% de las compañías ya cumple la regulación, y el 25% tiene un plan sólido para cumplirla desde su entrada en vigor. El resto, antes de aplicarla, mantiene dudas por resolver.

¿Qué se debe hacer?

Para adaptarse a la normativa, hay que empezar informando sobre la recogida de datos que se realiza. La legislación impide su acumulación sin sentido, por lo que se debe justidicar por qué se han reunido los datos, y cuál es su fin en la actividad que ejerce la empresa. Además, si se pide consetimiento para que los datos sean tratados (es decir, utilizados o cedidos), la compañía tiene que solicitar una autorización que certifique que el permiso se reclama inequívocamente. El RGPD, por otra parte, requiere la firma de un contrato con los proveedores que acceden a los datos; notificar las violaciones de la protección; efectuar Evaluaciones de Impacto en casos de peligro concreto; la realización de un informe de riesgos con medidas de seguridad; y la elaboración de un registro de actividades de tratamiento (qué se hace con ellos).

Este último documento sustituirá a los habituales ficheros que las empresas debían presentar en la Agencia Española de Protección de Datos (AEPD), y que incluían datos de carácter personales. A partir de ahora, mantendrán esta obligación las compañías con más de 250 trabajadores o las que pertenezcan a sectores especiales como el sanitario o el ideológico. Otra de las medidas de aplicación ineludible sólo para determinadas empresas es la figura del delegado de protección de datos.

Será el encargado de coordinar la política de protección de datos dentro de la compañía (aunque podrá contratarse mediante un servicio externo) y de relacionarse con la AEPD. La norma exige que cuenten con un delegado las entidades públicas; las privadas destinadas a actividades con información sensible como la sexual o los antecedentes penales; o las que establezcan perfiles, modelos de comportamiento, o a fidelicen consumidores a través del seguimiento de los usuarios en internet a gran escala.

La directora de Marketing de Teamleader, María Abad, sostiene que el delegado contribuye al «respeto el cumplimiento con lo establecido en la RGPGD», por lo que resulta recomendable disponer de uno a pesar de que no sea obligatorio. Abad, para adaptarse a la legislación, también considera aconsejable llevar a cabo «una actualización de los documentos legales y realizar auditorías internas; solicitar el certificado para procesar datos; mantener una reunión informativa con los clientes; formar a tu equipo, eliminar datos de los que no se tiene autorización; establecer un plan de gestión de crisis; gestionar los canales de acceso de datos adecuadamente; proteger los datos de los menores de 16 años y mostrar de forma explícita que se satisface la regulación».

¿Qué ocurre con el crm?

El nuevo siglo trajo consigo una digitalización que se está terminando de consolidar, y en lo referente a los datos nació una herramienta electrónico, el Customer Relationship Management (CRM). A medida que se expandía el uso del correo electrónico y de los buscadores, las empresas iban acumulando información de sus clientes para emprender campañas de marketing en la red, lanzar promociones... Algunas han recurrido al famoso spam, pero ahora el RGPD viene a censurar el uso indiscriminado del CRM y exige que el cliente de el consentimiento expreso de que sus datos tendrán esa finalidad.

Esto conllevará que las empresas tengan que revisar las cláusulas que el usuario acepta, para que no pueda haber ninguna confusión. Daniel Santos, abogado especialista en Protección de Datos y RGPD en Santos Abogados Asociados añade que lo necesario sería «incluirlo en el registro de actividades, examinar el riesgo en el tratamiento y desarrollar medidas de seguridad adecuadas que garanticen la integridad y la confidencialidad».

¿Y si soy pyme?

Ninguna compañía está exenta de aplicar el RGPD, sea cual sea su capacidad. Según el Ministerio de Empleo y Seguridad social, en España existen 1.317.015 pequeñas y medianas empresas (pymes), que deberán cumplirlo a pesar de olvidarse de presentar los ficheros y de no estar obligadas a contratar un delegado. Sin embargo, Abad manifiesta que para que cada pyme adapte el reglamento a su negocio, lo mejor es ponerse en manos de un buen profesional abogado que estudie bien cada caso y pueda asesorar y preparar los documentos legales pertinentes a medida.

Proveedores

Las empresas que presten servicios a terceros y manejen datos personales cedidos por sus clientes, tienen las mismas obligaciones que las compañías que generan la información. Life Abogados subraya la importancia de ejecutar adecuadamente la directiva en los proveedores porque, al elegirlos, «las empresas buscan marcas de confianza que cumplan con la ley porque de lo contrario se enfrentan a sanciones millonarias. Por eso, deberán estar en condiciones de acreditar y garantizar ante tus clientes que se han adaptado y cumplen con esta norma».

Empleados

Los empleados serán de los primeros afectados por la normativa, tendrán que conocerla para no cometer infracciones. Abad comenta que «a nivel interno, las compañías también deben controlar el tratamiento y respeto de los datos personales de terceros. Los departamentos de ventas, marketing, recursos humanos, atención al cliente y el financiero suelen gestionar datos en su día a día de forma habitual y la empresa deberá informar y formar a sus empleados para que hagan un uso correcto de los datos y no cometan infracciones por desconocimiento».

Con el extranjero

Los negocios de las empresas con el extranjero, a veces, demandan la comunicación de datos. La regulación, explica la AEPD, reduce la posibilidad de tratar información en internacional a las naciones sobre las que la Comisión reconozca un óptimo nivel de protección; cuando se garantice la seguridad en su destino, o en ciertas excepciones por razones relacionadas con el interés general o con el del propio titular.

Fuera de la UE

Una de las novedades más destacadas se refiere a las empresas cuya sede se sitúe fuera de la Unión Europea. A partir del próximo viernes, si poseen datos de ciudadanos que pertenezcan a ella, tendrán que obedecer la normativa continental.

Menores de edad

Los datos de los menores de edad son material especialmente sensible y, por lo tanto, a las empresas se les exigirá más cuidado con ellos. Sólo se permitirá pedir el consentimiento de una persona cuando supere los 16 años, y por debajo de esas edad se requerirá una autorización del padre, madre o tutor. No obstante, también se otorga la posibilidad de reducir la edad del consentimiento, mientras no sea inferior a los 13 años. De hecho, la AEPD indica que en España, «el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia».

¿Qué ocurre con la LOPD?

No se puede olvidar que en España (donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución) ya existe una normativa a este respecto, la Ley Orgánica de Protección de Datos (LOPD). La entrada en vigor del RGPD no supondrá la extinción de la anterior legislación, del 13 de diciembre de 1999. Convivirán y, mientras, la LOPD deberá adaptar su contenido al de la directiva europea. Las modificaciones ya están en marcha, pues el Parlamento está discutiendo el proyecto de la nueva ley.

A esperas de que se presenten las observaciones a los cambios, entre los que se proponen destaca la rebaja de la edad de consentimiento hasta los 13 años. Respecto a las personas fallecidas, se contempla la posibilidad de que los herederos puedan rectificar o suprimir los datos del muerto en su nombre.

La nueva LOPD que apuntillará algunos principios del RGPD. El más relevante, sin duda, está relacionado con el tratamiento y el interés legítimo sobre los datos. Desde la Asociación Española de la Publicidad, el Marketing y la Comunicación Digital (Iab) afirman que «algunos de los tratamientos parece que podrán contar con la base legal del interés legítimo, como es el caso del tratamiento de datos de contacto y de empresarios individuales, sistemas de información crediticia, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria o sistemas de información de denuncias internas en el sector privado. En otros escenarios que recogía el RGPD no parece tan claro que se pueda utilizar, como es el caso de marketing directo».

El proyecto, además, amplía los casos en los que las empresas deberán contratar de forma obligada un delegado de protección de datos. Se extiende, dicen en Iab, «a las entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, entidades que desarrollen actividades de publicidad y prospección comercial, operadores que desarrollen la actividad del juego a través de canales electrónicos, informáticos o interactivos».

Comercio en la red

Cuando uno se dispone a comprar un producto o contratar un servicio por internet, y se le piden sus datos, normalmente desconfía en el para qué se necesita tanta información. Tanto es así que el presidente de la Comisión Europea declaró que el 72% de los usuarios de internet sienten preocupación ante la demanda de sus datos personales. En este sentido, añadió que sólo el 22% de los europeos confían del todo en las empresas que ofrecen motores de búsqueda, redes sociales o corres electrónicos.

La RGPD intentará que estos porcentajes mejoren con medidas que dotarán de protección la información personales de los usuarios. Desde Life Abogados, comentan que «se acabará con las tarifas de itinerancia, con el bloqueo geográfico en comercio electrónico o con la portabilidad de los servicios digitales». El reglamento, de esta manera, generará mayor confianza en el comercio electrónico y servirá de marco regulatorio homogéneno para el conjunto de la UE. Ésto forma parte de la estrategia de la institución para desarrollar un mercado único digital en el continente, que impulse aún más la compra venta por internet hasta llegar a aportar alrededor de 415.000 millones de euros a la economía de la Unión.

Responsabilidad proactiva

El RGPD se basa en una serie de principios, entre los que destaca la responsabilidad proactiva. La AEPD define el concepto como «la necesidad de que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con el fin de garantizar y demostrar la conformidad con el Reglamento». Es decir, la legislación parte de que la propia empresa sea la que muestre la iniciativa en cuanto a su aplicación y, así, reconocer su compromiso con la protección de los datos de los clientes, consumidores o usuarios.

Sanciones

La AEPD podrá denunciar si ve signos de que alguna empresa se está saltando la normativa a partir del 25 de mayo. Desde Life Abogados recuerdan que esta directiva realmente ya entró en vigor en la misma fecha de 2016, pero Europa dio a sus países miembros un plazo de dos años para ejecutarla, con el objetivo de que sus compañías la fuesen estudiando. No cabrán excusas si toca enfrentar las sanciones, que son bastante elevadas. Santos sostiene que «se establece la posibilidad de presentar en los juzgados demandas de indemnización por el incumplimiento del reglamento frente a responsables o encargados del tratamiento. Por otro lado, las multas administrativas pueden ser hasta del 4% de la facturación del año anterior al de la infracción o de 20 millones de euros».

Europa no para de actualizar la ley: la directiva ePrivacy, siguiente paso

La Comisión Europea (CE) dará un paso importante el próximo viernes para proteger los datos de sus ciudadanos al aprobarse el RGPD. Sin embargo, como se suele decir, hecha la ley, hecha la trampa. Y desde la institución son conscientes de que ninguna regulación va a eliminar los riesgos, aunque los intentará mitigar con más trabas normativas. Están trabajando en la actualización de la directiva e Privacy, de 2002. En enero del año pasado, la CE ya publicó el borrador con las nuevas medidas, entre las que el Real Instituto Elcano destaca las siguientes: «adoptar una regulación única y armonizada en la UE de implantación inmediata tras su publicación (no necesita transposición); incorporar y equiparar las obligaciones de los proveedores de Internet y proveedores de servicios del Internet de las Cosas (IoT) a los operadores de telecomunicaciones (únicos sujetos obligados en la Directiva ePrivacy de 2002 en vigencia); exigir el consentimiento del usuario para el tratamiento de los metadatos asociados a la comunicación (incluyendo geolocalización); simplificar las disposiciones actuales sobre cookies, y fortalecer la protección del usuario frente a los distintos tipos de spam (telefónico, sms y correo electrónico)». Por otra parte, la CE también ha emitido el borrador de una nueva directiva para regular el libre flujo de datos no personales en la Unión Europea.

Los sectores más implicados

La obligación, vigente hasta el próximo 25 de mayo, de presentar los ficheros ante la Asociación Española de Protección de Datos (AEPD), ha dejado unas cifras que demuestran los sectores que más trabajan con datos y, por lo tanto, más exigencias legales tienen en este sentido. Aunque no se trate de una actividad profesional, las comunidades de propietarios son las que más ficheros han entregado, más de 682.000. Tras ellas, el primer sector económico que aparece en la lista es el comercio con más de medio millón de ficheros, bastante alejado de sus perseguidores. Los más próximos son la sanidad (con 356.916), el turismo y la hostelería (con 257.201), y la contabilidad, la auditoría y asesoría fiscal (con 181.093). Evidentemente, ninguno de estos sectores podría sobrevivir sin disponer de los datos de sus clientes. Los empresarios de la construcción, del inmobiliario, de la educación o de las actividades jurídicas, son otros de los que más necesitan rendir cuentas con la AEPD.