La Comisión Europea (CE) dará un paso importante este viernes para proteger los datos de sus ciudadanos al entrar en vigor el Reglamento Europeo de Protección de Datos (RGPD). A partir de mañana, los usuarios deberán dar su expreso consentimiento y suman nuevos derechos en cuanto al acceso a sus datos personales, la corrección y el borrado de los mismos, quedando más protegidos que nunca legalmente ante posibles violaciones de su privacidad. Además, las sanciones por infracción grave se endurecen hasta los 20 millones de euros o el 4% de la facturación global de la compañía infractora, la cifra más alta entre ambas opciones. En definitiva, el RGPD le da a las personas más control sobre sus datos personales y obliga a las empresas a asegurarse de que la forma en que recopilan, procesan y almacenan información es segura.
La Unión Europea espera alcanzar un cambio fundamental en la manera como las compañías piensan en la información: su idea central es “privacidad por defecto”.
La RGPD afecta directamente al mundo empresarial, que se ha convertido en un gran almacén de datos. La información personal de los clientes, sus hábitos de consumo o sus intereses, se van acumulando en los ordenadores de las compañías al ritmo que aumenta la preocupación por la seguridad de estos datos. Muchas compañías tienen sólo hasta hoy para contactar con los clientes y pedirles un consentimiento para mantener sus datos personales.
Ninguna excepción
Ninguna compañía está exenta de aplicar el RGPD, sea cual sea su capacidad. Pimec, patronal que representa a las micro, pequeñas y medianas empresas y autónomos de Catalunya, y que posee sede vallesana en Sabadell, ha pedido una moratoria de la RGPD para pymes y autónomos. Argumenta para ello que un 75% de las pymes catalanas aún no han adoptado las medidas necesarias para cumplir con este nuevo reglamento. “A partir del 25 de mayo (por mañana) si la empresa no tiene consentimiento explícito de la persona que tiene en tu base de datos, no puede comunicarse con ella para nada”, comenta, por su parte, un portavoz de Cecot, que asegura que el proceso de adaptación está siendo complicado para muchas empresas. “Son procesos muy extensos de análisis de cómo se está tratando cada uno de los datos que se posee; y las empresas disponen de numerosos canales de información”. Otras fuentes aseguran que ese proceso podía incluso a llegar a afectar al “negocio” si la compañía en cuestión acaba perdiendo datos sensibles.
Para adaptarse a la normativa, hay que empezar informando sobre la recogida de datos que se realiza. La legislación impide su acumulación sin sentido, por lo que se debe justificar por qué se han reunido los datos, y cuál es su fin en la actividad que ejerce la empresa. Además, si se pide consentimiento para que los datos sean tratados (es decir, utilizados o cedidos), la compañía tiene que solicitar una autorización que certifique que el permiso se reclama inequívocamente. El RGPD, por otra parte, requiere la firma de un contrato con los proveedores que acceden a los datos.
Este último documento sustituirá a los habituales ficheros que las empresas debían presentar en la Agencia Española de Protección de Datos (AEPD), y que incluían datos de carácter personales. A partir de ahora, mantendrán esta obligación las compañías con más de 250 trabajadores o las que pertenezcan a sectores especiales como el sanitario o el ideológico. Otra de las medidas de aplicación ineludible sólo para determinadas empresas es la figura del delegado de protección de datos. Será el encargado de coordinar la política de protección de datos dentro de la compañía (aunque podrá contratarse mediante un servicio externo) y de relacionarse con la AEPD. La norma exige que cuenten con un delegado las entidades públicas; las privadas destinadas a actividades con información sensible como la sexual o los antecedentes penales; o las que establezcan perfiles, modelos de comportamiento, o a fidelicen consumidores a través del seguimiento de los usuarios en internet a gran escala. Las empresas que presten servicios a terceros y manejen datos personales cedidos por sus clientes, tienen las mismas obligaciones que las compañías que generan la información (ver información adjunta). Los empleados serán de los primeros afectados por la normativa, tendrán que conocerla para no cometer infracciones. Los datos de menores de edad son material sensible y, por lo tanto, a las empresas se les exigirá más cuidado con ellos. Se permite pedir el consentimiento de una persona cuando supere los 16 años, y por debajo de esas edad se requerirá una autorización del padre, madre o tutor. No obstante, también se otorga la posibilidad de reducir la edad del consentimiento, mientras no sea inferior a 13 años.