Multas, contratar a un experto... las obligaciones de la nueva normativa de protección de datos

Las empresas tienen menos de 100 días para terminar de definir los cambios a los que obliga el nuevo reglamento si no quieren enfrentarse a cuantiosas multas

La fecha límite está marcada en el calendario. El 25 de mayo entrará en vigor la ley europea, por lo que las empresas tienen menos de 100 días para terminar de definir los cambios a los que obliga el GDPR si no quieren enfrentarse a las consecuencias de no proteger adecuadamente los datos personales que tienen en su poder, ya sea de trabajadores o de clientes. El problema es que en algunos ámbitos todavía hay mucho trabajo por hacer.

Algunas empresas todavía no han acometido los cambios exigidos por el reglamento y reconocen que ya no tendrán tiempo de adaptarse por completo al GDPR antes de su entrada en vigor. Según el estudio 'Cómo acelerar el cumplimiento de GDPR' dado a conocer esta misma semana por International Data Corporation (IDC) y Microsoft, el 65% de las empresas españolas no puede garantizar su cumplimiento.

Actualmente, según este estudio, el 10% de las compañías españolas cumplen ya con el reglamento, mientras que otro 25% cuenta con planes sólidos para asegurar su cumplimiento a partir de mayo, lo que supone que el restante 65% todavía tiene mucho trabajo por hacer. El problema, según los datos recabados en el informe, es que la mayoría de ellas no saben por dónde empezar, y otras están a la espera de que haya más información al respecto. Pero eso puede acarrearles más de un problema.

Y es que el periodo de adaptación contemplado es de unos seis meses desde su entrada en vigor, pero el hecho de no cumplir con esta legislación y hacer un mal uso de los datos personales de terceros podría suponer multas de hasta 20 millones de euros o el 4% de la facturación global a los infractores. Algo que desconocen muchas compañías españolas. De hecho, un informe de Trend Micro publicado a finales del año pasado apuntaba que el 73% de las organizaciones desconoce la cuantía de las multas a las que se expone si incumple el nuevo reglamento, con el que se quiere actualizar y armonizar las leyes de privacidad de datos de todos los Estados miembro de la Unión Europea (UE) y adecuarlas a la era digital.

Aunque Luis Felipe López Álvarez, profesor de Derecho Administrativo y de Internet en la Universidad a Distancia de Madrid (UDIMA), asegura que el problema no es tan grande, porque sí que hay muchas empresas que han hecho los deberes. “Las grandes ya están completamente adaptadas” y otras muchas se están “poniendo las pilas” para llegar a tiempo, afirma el experto, que recuerda que uno de los principales puntos que se debe tener en cuenta desde mayo es el del consentimiento para el uso de los datos. “El consentimiento tiene que haberse obtenido según el reglamento, por lo que los implícitos o aquellos obtenidos por omisión ya no valen. La empresa tendrá que obtener un nuevo consentimiento o deberá eliminar los datos”, remarca López Álvarez.

LAS FUNCIONES DEL RESPONSABLE DE PROTECCIÓN DE DATOS

También incide en la importancia de la figura del Responsable de Protección de Datos -puede ser una persona física o jurídica- con la que se tendrá que contar a partir de ahora para que vigile el correcto tratamiento de los datos personales. Según explica el profesor de la UDIMA, será obligatorio en “empresas de más de 500 trabajadores, en las administraciones públicas, en universidades públicas y privadas, en empresas que traten datos de riesgo o especialmente sensibles (religión, orientación sexual, afiliación sindical…), en empresas de seguridad, y en bancos y entidades financieras”.

Esta figura contará con una protección especial, y entre sus funciones, además de garantizar el cumplimiento de la ley, estará la de ser el 'enlace' de la empresa con las diferentes autoridades, entre ellas la Agencia Española de Protección de Datos (AEPD). El responsable de protección de datos podrá ser nombrado de entre los miembros de la plantilla o a través de una contratación externa, aunque muchos expertos coinciden en que debe tener conocimientos legales, por lo que señalan a letrados o a despachos de abogados expertos en privacidad como los más capacitados para este trabajo.

El Gobierno ya está tramitando en las Cortes la nueva Ley Orgánica de Protección de Datos, que esta semana ha pasado el primer examen en el Congreso

Asimismo, López Álvarez recuerda que el Gobierno ya está tramitando en las Cortes la nueva Ley Orgánica de Protección de Datos (esta semana ha pasado el primer examen en el Congreso de los Diputados), en la que se han introducido una serie de supuestos para adaptarse mejor al reglamento europeo, como el adelanto a los 13 años la edad -antes 14- del consentimiento para el tratamiento de datos o la contemplación expresa de los derechos de acceso, rectificación, supresión o derecho a la limitación de ese tratamiento. “En la ley europea se recogen sanciones muy amplias, y los tramos y los supuestos serán especificados en esta ley”, que el Ejecutivo de Mariano Rajoy quiere tener lista para mayo, pero puede que se retrase, por lo que habrá un “tiempo de descuento” para las empresas.

No obstante, Xavier Salla, profesor de Comunicación Digital de la Universitat Abat Oliba CEU y doctor en Ciencias Jurídicas, no lo ve igual. Según dice este experto, “aunque pueda haber algunas lagunas o dudas hasta la entrada en vigor de la nueva ley española, el reglamento europeo ya es aplicable y, por tanto, puede haber sanciones”. Y precisamente el miedo a las multas es lo que, según Salla, ha hecho que muchas empresas estén ultimando ya la adaptación. “No hay una conciencia por cumplir. Para muchas empresas, sobre todo pymes, es una complicación y se están adaptando a regañadientes”, explica. En otros muchos casos, señala, queda bastante trabajo por hacer porque los empresarios, al no ver ventajas, lo están “postergando”.

La encargada de hacer un seguimiento exhaustivo de la nueva normativa y de interponer las sanciones pertinentes en caso de que se infrinja será la AEPD, en cuya web aparece toda la información sobre el GDPR. Los ciudadanos pueden encontrar allí todas las claves de cara a la entrada en vigor de la nueva normativa, que les dará más control sobre su información personal en el contexto de la era digital (redes sociales, geolocalización a través de dispositivos, etc…). Asimismo, las empresas tienen toda la información necesaria para saber cómo adaptarse a la nueva normativa y para conocer al detalle qué es lo que se les va a exigir a partir de ahora, ante la nueva forma de recopilar, almacenar, tratar y compartir los datos personales de sus clientes y colaboradores.

El objetivo del GDPR es doble: por un lado pretende concienciar sobre la privacidad de las personas y las empresas, ampliando los derechos de los usuarios y las obligaciones de las empresas; y, por otro, busca armonizar todas las leyes de privacidad de datos en la Unión Europea. Las empresas han de aplicar medidas técnicas y organizativas para garantizar y demostrar su correcto cumplimiento en el tiempo, sobre todo teniendo en cuenta que el de los datos es, cada vez más, un negocio rentable. Sólo hay que recordar el estudio publicado el año pasado por el Colegio Universitario de Estudios Financieros (CUNEF), que aseguraba que el negocio de los datos crecerá hasta los 5.500 millones de euros en Europa en 2018.

Esa es la razón por la que se busca garantizar la correcta protección de los datos, y la cuenta atrás para hacerlo está llegando a su fin.