70.000 empresas de Castilla y León deben adaptarse a la Ley de Protección de datos antes de un mes

70.000 empresas de Castilla y León deben adaptarse a la Ley de Protección de datos antes de un mes

Todas las firmas europeas deberán estar adaptadas el 25 de mayo al reglamento que busca evitar abusos como el de Facebook

ANA BARANDIARAN /ÁNGEL BLANCO

Por si alguien lo dudaba, en los últimos meses ha quedado claro que el dato es negocio. El caso Facebook / Cambridge Analytica no ha dejado lugar a dudas. Y, casualmente, estamos a poco más de un mes para que entre en vigor el nuevo reglamento europeo de protección de datos, de obligado cumplimiento a partir del 25 de mayo. Esta norma obliga a las empresas a autoexigirse un protocolo de actuación en la gestión de los datos, tanto los de su propio personal como los que maneje de terceros.

Pese a que las empresas han contado con dos años para prepararse, –la norma es de aplicación en toda la UE y entró en vigor en 2016, pero se dieron dos años para la adaptación–, no pocas firmas acumulan un importante retraso. Puesto que el reglamento afecta a todo aquel que posea datos personales (nombres, teléfonos, direcciones, cuentas corrientes, nóminas, historiales médicos, documentos jurídicos...), su cumplimento incluye a las 70.000 empresas de Castilla y León –68.940 a 31 de marzo, según el directorio de la Seguridad Social–, entre otros muchos organismos e instituciones. A algunas les toca más cerca (firmas de publicidad y márketing, aseguradoras, clínicas, financieras, agencias de viajes, etc.), pero todas deben cumplir.

La aplicación efectiva del Reglamento General de Protección de Datos (RGPD) se produce en un momento de convulsión tras conocerse la filtración de datos de Facebook de 87 millones de usuarios. El escándalo ha incrementado la preocupación sobre la información que las compañías recaban sobre nosotros a través de los 'me gusta' en las redes sociales y las 'cookies' que monitorizan nuestra navegación en Internet. De hecho, la regulación europea está pensada precisamente para proteger a las personas de los abusos de este tipo y el fuerte endurecimiento de las sanciones que contempla tiene como diana a gigantes como Facebook, Google o Amazon. Ahora las multas pueden llegar a 20 millones o el 4% de la facturación, si esta última cifra es mayor. Bastante disuasorias.

Acreditar las medidas

«Estas sanciones no están pensadas para una empresa normal. No hay que asustarse, pero tampoco relajarse», explican desde PKF Attest, consultora especializada en la adaptación que advierte de que las empresas van, en general, con retraso y ha sido en los últimos meses cuando se están poniendo las pilas.

Precisamente desde la patronal regional dan por hecho que las empresas pequeñas y medianas, la inmensa mayoría de las de Castilla y León, «tendrán que contratar un gestor de protección de datos externo», a la manera de lo que muchas hacen con la contabilidad, la fiscalidad o la salud laboral. «Al final va a ser una carga más para las empresas, obligadas a dedicar cada vez más recursos para cumplir con todos los requerimientos y los miles de folios de los boletines oficiales», señala Ángela de Miguel, portavoz de Cecale. «Es cierto que la norma ha provocado una cierta inquietud en muchas empresas y hemos tratado de aclararlas con alguna jornada y otras iniciativas, porque todos tenemos la intención de cumplir la ley, pero es un hecho que los criterios no están muy claros».

Un negocio al alza con buenas prespectivas

En la era de Internet y las redes sociales, las exigencias sobre protección de datos van a incrementarse continuamente. Mantenerse al día con esta regulación no va a ser fácil para las empresas. De ahí que no paren de surgir firmas consultoras que se ofrecen para la gestión de esta materia. Ahora mismo, cuando falta solo un mes para que se empiece a aplicar el nuevo reglamento europeo, se nota un 'boom' de despachos especializados que se anuncian por doquier para captar clientes.

Los expertos consultados se niegan a dar presupuestos concretos de lo que puede suponer para una empresa adaptarse a las exigencias del reglamento. Unos hablan de 300 euros para las más pequeñas, otros elevan el mínimo a 5.000. Se escudan en que hay que estudiar cada caso y que también es importante tener en cuenta el punto de partida.

En todo caso, es un negocio al alza que ofrece oportunidades de empleo. Para empezar, las empresas que tratan datos a gran escala deben contar con un delegado de protección de datos, una profesión con gran futuro. Entre ellos hay abogados especializados y también informáticos.

Pero el abanico que se abre es muy amplio. Por ejemplo, cada vez hay más firmas especializadas en borrar la huella digital de las personas.

En efecto, los expertos en la materia coinciden con la presidenta de la Confederación Vallisoletana de Empresarios en que el principal reto del nuevo reglamento es que, a diferencia del anterior, no da pautas concretas sobre lo que hay que hacer. Por ejemplo, antes se establecían unas instrucciones muy claras sobre qué medidas de seguridad (encriptación y almacenamiento) se debían adoptar en función de si los datos eran de categoría baja (nombre y teléfono), media (cuentas bancarias) o alta (salud, afiliación sindical, orientación sexual...). Ahora no. Cada cual debe analizar los datos que maneja, su vida (captación, almacenamiento, destrucción), los riesgos, y adoptar las medidas oportunas. Todo debe estar bien acreditado para una eventual inspección de la Asociación Española de Protección de Datos (AEPD), que es la autoridad competente.

No obstante, hay algunos pilares generales a tener en cuenta. El principal es que ahora se debe identificar de forma clara la finalidad de la captación de los datos y recabar el consentimiento expreso de la persona. Ya no valen las casillas premarcadas, eso es 'pecado mortal'.

Un ejemplo: si un dentista recaba los datos personales de un cliente para hacerle un implante, no tiene nada que temer. Está legitimado a ello por el servicio que va a prestar. Otra cuestión es que la clínica dental luego conserve esos datos y los utilice para mandar publicidad de nuevos tratamientos y ofertas. Entonces es cuando entra la nueva normativa. Se debe recabar el consentimiento expreso del cliente para esa otra finalidad.

La captación

Hay compañías que ya están actualizando los consentimientos para poder enviar publicidad. Es el caso del grupo automovilístico BMW, que ha mandado un 'mail' a todos sus clientes en el que les solicita renovar su aceptación para mandarles información sobre la marca.

En la captación de datos se debe informar de los nuevos derechos que contempla el reglamento (aparte de los ya reconocidos), como la portabilidad –los datos deben estar preparados para pasárselos en un formato accesible a un competidor– y el derecho al olvido. Además de todas las novedades en torno al consentimiento, las empresas deberán establecer protocolos para almacenar de forma correcta los datos y destruirlos cuando hayan cumplido su finalidad.

Las principales novedades

Consentimiento.
Se debe informar de manera muy clara de la finalidad para la que se solicitan los datos y recabar el consentimiento expreso de la persona. Ya no vale que sea tácito. Además, se vetan las casillas premarcadas, habrá que 'clicar' en cada una de ellas. Las páginas web deberán adaptarse.
Pedir lo mínimo.
El reglamento exige la «minimización de datos», es decir, que la empresa pida únicamente los necesarios para cumplir con la finalidad para la que los solicitan. Además, el formulario a rellenar deberá recoger unas cláusulas informativas redactadas con lenguaje claro y comprensible.
20
millones de euros o, si es mayor, el 4% de la facturación es el importe al que se elevan las multas por infracciones muy graves. El máximo hasta hora era de 600.000 euros, con lo que ha habido un endurecimiento.
Portabilidad y olvido.
Aparte de reforzar los derechos ya reconocidos, se añaden los de portabilidad y olvido. El primero se refiere a que una compañía debe facilitar a sus competidoras los datos en formato accesible. El olvido implica la eliminación de la información una vez termina la finalidad para la que se recaba.
Control a terceros.
La normativa también obliga a tener un mayor control de aquellos a los que se ceden los datos para su tratamiento. Puede ser la gestoría que hace las nóminas o la firma informática que lleva los sistemas de la compañía. Se debe acreditar que son serias y cumplen la regulación.
Delegado de datos.
Deberán disponer de un delegado de protección de datos (DPD o DPO por sus siglas en inglés) todas las empresas y organismos que manejen datos personales a gran escala, y en especial, aquellos relacionados con la orientación sexual, las convicciones religiosas o la salud.
72
horas es el tiempo máximo que se concede para comunicar a la Agencia Española de Protección de Datos cualquier incidente –brecha de seguridad– que haya podido suponer una fuga de información personal.

Por lo general, las compañías, aparte de los datos personales de clientes, deben velar por los que tienen de sus empleados y también asegurarse de que ellos tratan con adecuada confidencialidad los datos de los clientes. En este sentido, el reglamento presta especial atención a cuestiones como la huella dactilar que ahora se solicita en muchos centros de trabajo para el acceso. También habría que analizar los ordenadores y móviles con información que se sacan fuera de la oficina, y otro apartado que siempre hay que tener en cuenta es el de las videocámaras.

El capítulo de proveedores merece atención. Lo más habitual es que una empresa contrate con una asesoría la gestión de las nóminas y con una firma de informática el mantenimiento de los sistemas. Pues bien, estos contratos deben también ser revisados con la nueva normativa. «La compañía debe velar por que cumplan la regulación. Por ejemplo, si yo tengo una firma contratada para destruir los documentos de los asegurados debo cerciorarme de que lo hace de forma adecuada. Y acreditarlo», apunta Pablo Garrote, delegado de protección de datos del grupo Igualatorio Médico Quirúrgico (IMQ). Esta figura es otra gran novedad. Las empresas que manejan gran cantidad de datos y, sobre todo, si son sensibles como los de salud, están obligadas a disponer de ella.

¿Es necesario contratar a una firma especializada para adaptarse? La respuesta no es fácil. Las empresas muy pequeñas pueden arreglarse con el manual de la AEPD, pero cada caso es diferente. A partir de los 20 trabajadores es difícil que se apañen solas, estiman las fuentes consultadas. La lista de las empresas más afectadas es interminable. La encabezan las de márketing y comercio electrónico, que tendrán que cuidar las bases de datos que usan, pero destacan también las aseguradoras, las financieras, las clínicas, las agencias de viajes, gestorías, bufetes de abogados, los instaladores de alarmas...

«Entendemos que el derecho a la privacidad es importante y que lo que ha sucedido con Facebook es muy preocupante –señala la portavoz de Cecale–. Pero a la vez pedimos que se tenga en cuenta que son las empresas más grandes las que tienen capacidad para, por ejemplo, cruzar datos y debe ser a estas a las que más comprometa el deber de tratarlos de forma escrupulosa». Para Ángela de Miguel, en la aplicación práctica de la norma estará el quid de la cuestión, porque «no se puede tratar por igual a una micropyme, que si incurre en una falta será seguramente por un error involuntario».

 

Fotos

Vídeos