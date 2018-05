¿Está su empresa adaptada al nuevo Reglamento de Protección de Datos?

El 25 de mayo entran en vigor las contundentes sanciones

Imagen: Dreamstime.

A una semana de la entrada en vigor del nuevo Reglamento europeo de Protección de Datos (RGPD) comienza el sprint final para las empresas de la Unión Europea y fuera de ella que traten datos de ciudadanos del espacio comunitario, para demostrar su adaptación y concienciación con el tratamiento de datos personales.

No es para menos. La nueva normativa europea se toma muy en serio el tratamiento de datos personales de los ciudadanos europeos y prevé en su redacción sanciones de, en el peor de los casos, hasta 20 millones de euros o el 4 por ciento de la facturación total anual global del ejercicio financiero anterior, optándose por la mayor cuantía. Esta cifra contrasta con la máxima sanción de 600.000 euros que podía imponer hasta ahora la Agencia Española de Protección de datos (AEPD), una de las beligerantes de la Unión Europea.

El 85 por ciento de las empresas en Europa y Estados Unidos no estará adaptada a tiempo a las exigencias del Reglamento, y una de cada cuatro tampoco prevé haber completado su adecuación para final de año, según el informe Seizing the GDPR Advantage: From mandate to high-value opportunity, elaborado por la consultora Capgemini. Además, las empresas españolas están por detrás de las inglesas en la adaptación del RGPD, ya que el 54 por ciento afirma estar preparado para su entrada en vigor, frente al 55 por ciento de las compañías británicas. Más rezagadas se encuentran las alemanas y holandesas con el 51 por ciento.

Tolerancia cero

A propósito de esto, la directora de la Agencia de Protección de datos, Mar España Martí, ha asegurado en varias ocasiones que "la Agencia Española va a tener tolerancia cero con las empresas que no se hayan adaptado a partir del 25 de mayo y no va a haber moratoria en la aplicación de la normativa".

Además, en la jornada sobre el impacto del Reglamento europeo de Protección de Datos organizado por elEconomista, alertó de una proliferación de empresas que prestan asesoramiento en materia de Protección de Datos sin cumplir con los estándares que exigen la normativa y la propia Agencia. "Soy consciente de que es un nicho de negocio y ahora mismo hay muchísimas entidades que están ofreciendo servicios de asesoramiento", apuntó. "No van a servir de nada al empresario. Se le está estafando", aseveró. "Me gustaría que se cortara la práctica de algunas empresas a coste cero, que a través de una simple auditoría telefónica certifican, o empresarios que firman un curso de formación o una auditoría de protección de datos. Si tengo conocimiento de ello voy a utilizar todos los medios, lo transmitiré a la Agencia Tributaria si es necesario", sentenció la directora de la Agencia española.

La nueva normativa "supone un cambio radical y establece un régimen preventivo y proactivo por parte del sector empresarial", según España. Por lo tanto, la concienciación desde los Consejos de Administración de las empresas para liderar el cambio "desde arriba", es necesario para salir de un modelo reactivo al proactivo. La responsabilidad activa o el principio de accountability es una de las ideas clave de las que parte el Reglamento y será esencial para su correcta implantación, ya que supone un cambio de modelo que requiere por parte de empresarios y actores, un cambio de cultura a nivel global de difícil implantación en 24 horas.

El consentimiento

Una de las exigencias a tener en cuenta del Reglamento es que el consentimiento del usuario debe ser "inequívoco", es decir aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Además ha de ser explícito en tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.

Los tratamientos iniciados antes de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante manifestación o acción afirmativa, pero no se puede seguir obteniendo consentimientos por omisión.

Nuevos derechos

A partir del 25 de mayo, el control de los datos estará íntegramente en manos del portador de los mismos, el usuario y no de la empresa. El RGPD ahora prevé el derecho a obtener una copia de datos personales objeto del tratamiento, y el responsable podrá atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. También, los ciudadanos tienen derecho al olvido, es decir, tienen el poder de modificar, cancelar o borrar sus datos personales en posesión de terceros.

El derecho de limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Y por último, el derecho de portabilidad es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica, y sólo puede ejercerse cuando el tratamiento se efectúe por medios automatizados.

Datos de menores de edad

La mención más explícita a los menores está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad, y el RGPD permite a los Estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. En España el Reglamento de Desarrollo de la LOPD fija la edad de consentimiento en 14 años con carácter general. Por ello, es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia.

El nuevo Reglamento, que será aplicable sin ningún tipo de moratoria, será la norma principal hasta la creación de la Ley orgánica sobre la materia, aún en trámite en el Congreso de los Diputados, y que según auguran algunos expertos podría estar lista a final de año.

La Agencia, a su disposición

En caso de cualquier violación de los datos personales, el afectado está obligado a notificar, en un periodo no superior a 72 horas, las brechas de privacidad sufridas por la compañía a la AEPD y eventualmente a los afectados. También, está a disposición el canal Informa_RGPD para prestar soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación del Reglamento General de Protección de Datos (RGPD), que llega para quedarse el próximo 25 de mayo de 2018.

