La empresa, ante el límite entre oportunidad digital y privacidad
La nueva norma de la UE prevé sanciones de hasta 20 millones o el 4% de la facturación
El nuevo Reglamento Europeo de Protección de Datos, de obligado cumplimiento a partir de 2018, nace con vocación de combinar expansión digital –incluso potenciarla– con derecho a la privacidad. Las empresas que gestionan datos personales, con independencia de su tamaño, se exponen a duras sanciones –hasta los 20 millones de euros– si incumplen la normativa. ¿Se están preparando para el reto?
Pocos dudan de la necesidad de un nuevo reglamento porque el vigente se remonta a 1995. Pero sobre su viabilidad planean dudas. Comenzó a negociarse hace cuatro años, demasiado tiempo si se tiene en cuenta la velocidad de vértigo con la que avanza la expansión digital. Además, un Reglamento que fue concebido para unificar las obligaciones en materia de protección de datos deja bastante libertad a cada uno de los Estados miembros de la UE para desarrollar obligaciones relevantes.
Consentimiento nítido
En opinión de Raúl Rubio, del despacho Baker & McKenzie, el impacto en las empresas «va a ser muy significativo», ya que «les obliga a documentar los tratamientos de datos, más de lo que ya lo hacían». Apunta como «positivo» que se elimina la obligación de registrar ante la Agencia de Protección de Datos los ficheros, pero «a cambio, internamente, las organizaciones deben tener un control mucho más detallado de la información». Rosario Álvarez, del mismo despacho, destaca que con el nuevo reglamento «desaparece el consentimiento tácito, y se requiere uno inequívoco a través de declaraciones confirmativas, con lenguaje claro». Así, queda para el recuerdo aquella «cláusula inmensa de protección de datos, que nadie leía porque no se entendía, se aceptaba casi a ciegas». El nuevo reglamento «obliga a las empresas a ser mucho más claras a la hora de recabar este consentimiento. Ello hace aconsejable que los departamentos de marketing colaboraren en este tipo de cláusulas para hacerlas atractivas a los usuarios».
De «datos sensibles» se pasa ahora a la categoría de «datos especiales», que «van a tener exigencias adicionales en cuanto a las medidas de seguridad y la forma en la que se gestionen». No se podrá alegar desconocimiento. Rubio asegura que Baker & McKenzie ya está asesorando porque, aunque parezca que 2018 está lejos, «son tantas las nuevas obligaciones que hace falta esfuerzo. Muchas empresas van con atraso e incluso no se han planteado qué hacer». Y es fundamental formarse, porque el Reglamento no distingue en función del tamaño de la compañía, si no por el tipo de datos que custodia y gestiona. «Las empresas más pequeñas todavía no son conscientes de las obligaciones que van a tener en breve y lamentablemente, en la medida en que incumplan esta regulación, podrán verse expuestas a sanciones muy cuantiosas». Pueden llegar a los 20 millones de euros o al 4% de la facturación global en caso de multinacionales. Hasta ahora, en España la máxima sanción era de 600.000 euros.
La normativa incorpora la figura de un delegado, responsable de la privacidad, y exigible a empresas que gestionan determinado tipo de datos personales. «Estaríamos hablando de supuestos en los que se estén tratando datos especiales de manera masiva por parte de la compañía. Supuestos donde se haga una monitorización regulada sistemática de la información de los afectados». Una nueva profesión, que requiere nociones jurídicas, pero también una formación técnica. El hecho de que sea obligatorio solo para ese tipo de empresas, no quiere decir que no sea aconsejable para otras. «Su nombramiento puede funcionar como prueba de diligencia en caso de que la empresa cometiese alguna infracción, un elemento muy importante a la hora de minimizar posibles sanciones», consideran Álvarez y Rubio.
Para Ignacio Chico, director general de la consultora Iron Mountain España, «las compañías tienen que dibujar un mapa de datos para saber dónde están», si en sistemas informáticos corporativos, almacenes externos, sin olvidar la que guardan subcontratas... Y deberán determinar cuándo conservar los datos y cuándo destruirlos. Ello, para «minimizar el riesgo». «Es crucial estar al día y tener capacidad de respuesta».
