El reglamento europeo de datos comienza a aplicarse en medio del caos

Llegó el ‘Día D’: este viernes 25 de mayo comienza a aplicarse de forma efectiva el nuevo reglamento europeo de protección de datos (RGPD), aunque lleva ya dos años en vigor. El objetivo de estos 24 meses de transición era dar tiempo a las empresas que tratan datos de ciudadanos europeos para adaptarse a los cambios, que incluyen, por ejemplo, la necesidad de consentimiento explícito por parte de los usuarios. Sin embargo, a muchas les ha ‘pillado el toro’. Las cifras varían de un estudio a otro, pero múltiples informes han mostrado en los últimos días que el porcentaje de compañías españolas que se han acondicionado totalmente a las nuevas normas es bajo.

Según el ‘II Estudio Empresas y Ciberseguridad’, publicado esta misma semana, tan solo el 12% de las empresas españolas ha ‘hecho los deberes’ a tiempo y ha finalizado ya su proceso de adaptación. Un 71% de las organizaciones se muestra muy preocupado por la aplicación de dicha normativa.

Los datos de la consultora Capgemini son algo más optimistas y elevan el porcentaje de compañías que están “totalmente” o “en gran medida” adaptadas al RGPD al 54%, mientras que el 46% restante se ha quedado rezagado a la hora de adecuarse a los cambios.

La CEOE, los despachos de abogados e incluso la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, se han mostrado preocupados por la situación, especialmente en el caso de las pymes, que tienen menos medios para abordar la transición. Para estas empresas, el organismo puso en marcha hace unos meses la herramienta gratuita Facilita_RGPD, que genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.

Ante el retraso y el caos, la patronal de las pymes catalanas, Pimec, llegó a pedir hace un par de semanas una moratoria para las empresas más pequeñas. La organización sostenía entonces que el 75% de las pymes y autónomos aún no habían adoptado las medidas necesarias y cifraba la inversión necesaria para estas compañías en 30 millones de euros. Pero la AEPD ha dejado claro que no habrá moratorias ni excepciones.

¿Qué exige el RGPD a las empresas?

Con las nuevas normas, las empresas deben obtener el consentimiento explícito y claro de los usuarios para poder tratar sus datos (hasta el momento, solamente era necesaria una autorización tácita) y el lenguaje sobre las cláusulas de privacidad debe ser “claro y comprensible”. En el caso de los menores de 16 años, es necesario el permiso paterno. También deben garantizar que retirar el consentimiento para el tratamiento de datos personales sea tan fácil como darlo.

Como consecuencia de todo ello, se han acabado las casillas marcadas por defecto para el envío de publicidad cuando el usuario se inscribe a un servicio o compra un producto por internet.

Por otro lado, se establece la responsabilidad proactiva, es decir, las empresas deben adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD establece: los usuarios disfrutan a partir de los derechos de acceso, rectificación, olvido, limitación de tratamiento o portabilidad. Por ello, la protección de los datos de los ciudadanos debe tenerse en cuenta ya desde el diseño.

En el caso de compañías que traten información especialmente sensible, como los bancos, se exige una Evaluación de Impacto en la protección de los datos personales de sus clientes. “Estas evaluaciones de impacto van más allá del mero cumplimiento normativo, y pretenden cubrir las expectativas de privacidad de los interesados, que en el caso concreto de los usuarios de la banca, son muy altas y concretas por el tipo de información que manejan las entidades financieras”, explica Selfbank.

Además, determinadas compañías tienen que designar un delegado de protección de datos (DPO). Están obligadas a ello los organismos públicos o las compañías que traten datos a gran escala, es decir que tengan muchos clientes o trabajen con un elevado volumen de información de usuarios.

Otra de las novedades es que las compañías están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y a los afectados. En concreto, las empresas tienen que comunicar un incidente relacionado con la seguridad y la privacidad de los datos a las autoridades pertinentes, en nuestro país a la AEPD, en un plazo de 72 horas tras haber tenido constancia de la misma. Dependiendo de la gravedad, se debe notificar también a los usuarios que se pudieran haber visto afectados.

¿Qué empresas deben cumplirla?

La aplicación del RGPD se extiende a todas las empresas que procesan datos personales de personas que residen en la UE, independientemente de la ubicación de la empresa, aunque la actividad no implique ningún pago por parte de los usuarios. Deben por tanto cumplirla también Google, Facebook o las empresas servicios en la nube.

Multas

El RGPD contempla sanciones de hasta el 4% de la facturación mundial anual o 20 millones de euros (el importe que sea mayor) a las compañías que infrinjan alguna de las medidas. Esta sería la sanción máxima, que se impondría en las infracciones más graves, pero “existe un enfoque escalonado de multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad supervisora y el sujeto de datos sobre una infracción o no llevar a cabo una evaluación de impacto”, explican las instituciones europeas.

Acceda a la versión completa del contenido