Internet
Ojo al dato: las compañías se juegan hasta 20 millones de euros
El próximo 25 de mayo entra en vigor el Reglamento General de Protección de Datos, que contiene nuevas obligaciones en su tratamiento.
Tic, tac, tic, tac... A algo más de un mes de que entre en vigor del nuevo Reglamento General de Protección de Datos (RGPD). Son muchas las preguntas que quedan en el aire. La inquietud de los directivos de las compañías ante el nuevo marco normativo se acrecienta, dada las consecuencias que conlleva su incumplimiento.
Faltan menos de dos meses para la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD), que será de directa aplicación en España a partir del 25 de mayo y que contiene nuevas obligaciones que las empresas no pueden incumplir, si no quieren ser sancionadas con multas de hasta 20 millones de euros o el 4% de la facturación anual –en el caso de las grandes compañías–.
Y es que en la era del todo conectado, en la que ya hay más «bits» almacenados que estrellas en el universo, los datos se han convertido en el petróleo del siglo XXI para las empresas, en su tesoro más preciado. Por lo que ahora más que nunca, teniendo en cuenta la inminente normativa, su protección debe ser una absoluta prioridad. Así, las organizaciones que tratan datos personales tendrán que realizar un análisis de riesgos con el fin de establecer las medidas necesarias para garantizar los derechos y libertades de los ciudadanos, porque la nueva ley conlleva muchas implicaciones que las compañías deben conocer con detenimiento.
Sin embargo, por pereza, falta de tiempo o despiste, los empresarios pueden cometer el error de dejar para última hora su adaptación a la nueva normativa. Y dadas las graves consecuencias de no hacerlo, en algunos incluso podría cundir el pánico ante los trámites necesarios para adecuarse a un modelo más proactivo y preventivo, y no tan basado en la reacción, que permitirá demostrar que las condiciones en las que se realizan los tratamientos de datos personales se encuentran totalmente actualizadas con respecto a las situaciones de riesgo específicas de cada caso.
En otras palabras, a partir de ahora será la propia empresa la que tenga que decidir las medidas de seguridad a poner en marcha para proteger los datos y la privacidad de las personas. De igual modo, las compañías tienen que ser capaces de demostrar que esas medidas son eficaces y cumplen con el reglamento.
En este sentido, la Agencia Española de Protección de Datos (AEPD) ya ha presentado las «Guías de Análisis de Riesgo y Evaluación de Impacto en la Protección de Datos Personales». No obstante, son muchas las preguntas que quedan en el aire e inquietan a los máximos responsables de las compañías ante el nuevo marco normativo.
Por ejemplo, las empresas que tengan hecha una auditoría en protección de datos podrían preguntarse si ya están cumpliendo. Pues bien, sirve pero no es suficiente, ya que estas compañías tendrán que revisar sus obligaciones y adecuar sus políticas de privacidad.
Otras, por su pequeño tamaño, su escaso número de trabajadores y, al no trabajar con consumidores finales, podrían cuestionarse si se ven afectadas por el nuevo RGPD. Y sí, les afectará, puesto que ni el tamaño ni el volumen de datos que se maneje eximen de la obligación de adaptarse a este reglamento.
El RGPD tiene la finalidad de unificar legislaciones nacionales e impulsar un mercado único de los datos. De ahí, que si una empresa vende on-line a algunos países europeos, aunque tenga su sede fuera de la UE, tenga que someterse al reglamento. Y precisamente ésta es una de las novedades más destacadas a valorar.
La nueva normativa también exige que no se recopilen datos porque sí, y que sólo se traten aquellos mínimos y necesarios para el logro de los fines legítimos de la empresa. Para ello, las compañías tienen que analizar las medidas de las que dispone para evitar poner en riego los derechos y libertades de las personas titulares de los datos. Y a pesar de que ya no sea obligatorio continuar registrando los ficheros de datos ante la AEPD, sí es necesario crear un Registro de Actividades de Tratamiento.
La cuenta atrás ha comenzado. Y después de la llegada de la nueva Ley no se concederá ninguna prórroga ni periodo de gracia, por lo que todas las empresas y organizaciones, tanto públicas como privadas, habrán tenido que adaptar sus políticas internas de privacidad y medidas de seguridad si no quieren apoquinar la correspondiente multa. Hay que tener, pues, ojo al dato. Y, sobre todo, proteger los datos. La norma entró en vigor en mayo de 2016, por lo que para entonces habrán transcurrido dos años. El que no esté al día, que se ponga. Y el que pueda hacerlo hoy que no lo deje para mañana. El avance del reloj juega ya en contra.
*Socio de Life Abogados
✕
Accede a tu cuenta para comentar