70.000 empresas de Castilla y León deben adaptarse a la Ley de Protección de Datos antes de un...
Todas las firmas europeas deberán estar adaptadas el 25 de mayo al reglamento que busca evitar abusos como el de Facebook
Por si alguien lo dudaba, en los últimos meses ha quedado claro que el dato es negocio. El caso Facebook / Cambridge Analytica no ha dejado lugar a dudas. Y, casualmente, estamos a poco más de un mes para que entre en vigor el nuevo reglamento europeo de protección de datos, de obligado cumplimiento a partir del 25 de mayo. Esta norma obliga a las empresas a autoexigirse un protocolo de actuación en la gestión de los datos, tanto los de su propio personal como los que maneje de terceros.
Pese a que las empresas han contado con dos años para prepararse, ?la norma es de aplicación en toda la UE y entró en vigor en 2016, pero se dieron dos años para la adaptación?, no pocas firmas acumulan un importante retraso. Puesto que el reglamento afecta a todo aquel que posea datos personales (nombres, teléfonos, direcciones, cuentas corrientes, nóminas, historiales médicos, documentos jurídicos...), su cumplimento incluye a las 70.000 empresas de Castilla y León ?68.940 a 31 de marzo, según el directorio de la Seguridad Social?, entre otros muchos organismos e instituciones. A algunas les toca más cerca (firmas de publicidad y márketing, aseguradoras, clínicas, financieras, agencias de viajes, etc.), pero todas deben cumplir.
La aplicación efectiva del Reglamento General de Protección de Datos (RGPD) se produce en un momento de convulsión tras conocerse la filtración de datos de Facebook de 87 millones de usuarios. El escándalo ha incrementado la preocupación sobre la información que las compañías recaban sobre nosotros a través de los 'me gusta' en las redes sociales y las 'cookies' que monitorizan nuestra navegación en Internet. De hecho, la regulación europea está pensada precisamente para proteger a las personas de los abusos de este tipo y el fuerte endurecimiento de las sanciones que contempla tiene como diana a gigantes como Facebook, Google o Amazon. Ahora las multas pueden llegar a 20 millones o el 4% de la facturación, si esta última cifra es mayor. Bastante disuasorias.
Acreditar las medidas
"Estas sanciones no están pensadas para una empresa normal. No hay que asustarse, pero tampoco relajarse", explican desde PKF Attest, consultora especializada en la adaptación que advierte de que las empresas van, en general, con retraso y ha sido en los últimos meses cuando se están poniendo las pilas.
Precisamente desde la patronal regional dan por hecho que las empresas pequeñas y medianas, la inmensa mayoría de las de Castilla y León, «tendrán que contratar un gestor de protección de datos externo», a la manera de lo que muchas hacen con la contabilidad, la fiscalidad o la salud laboral. "Al final va a ser una carga más para las empresas, obligadas a dedicar cada vez más recursos para cumplir con todos los requerimientos y los miles de folios de los boletines oficiales", señala Ángela de Miguel, portavoz de Cecale. "Es cierto que la norma ha provocado una cierta inquietud en muchas empresas y hemos tratado de aclararlas con alguna jornada y otras iniciativas, porque todos tenemos la intención de cumplir la ley, pero es un hecho que los criterios no están muy claros".
En efecto, los expertos en la materia coinciden con la presidenta de la Confederación Vallisoletana de Empresarios en que el principal reto del nuevo reglamento es que, a diferencia del anterior, no da pautas concretas sobre lo que hay que hacer. Por ejemplo, antes se establecían unas instrucciones muy claras sobre qué medidas de seguridad (encriptación y almacenamiento) se debían adoptar en función de si los datos eran de categoría baja (nombre y teléfono), media (cuentas bancarias) o alta (salud, afiliación sindical, orientación sexual...). Ahora no. Cada cual debe analizar los datos que maneja, su vida (captación, almacenamiento, destrucción), los riesgos, y adoptar las medidas oportunas. Todo debe estar bien acreditado para una eventual inspección de la Asociación Española de Protección de Datos (AEPD), que es la autoridad competente.
No obstante, hay algunos pilares generales a tener en cuenta. El principal es que ahora se debe identificar de forma clara la finalidad de la captaciónde los datos y recabar el consentimiento expreso de la persona. Ya no valen las casillas premarcadas, eso es 'pecado mortal'.
Un ejemplo: si un dentista recaba los datos personales de un cliente para hacerle un implante, no tiene nada que temer. Está legitimado a ello por el servicio que va a prestar. Otra cuestión es que la clínica dental luego conserve esos datos y los utilice para mandar publicidad de nuevos tratamientos y ofertas. Entonces es cuando entra la nueva normativa. Se debe recabar el consentimiento expreso del cliente para esa otra finalidad.
La captación
Hay compañías que ya están actualizando los consentimientos para poder enviar publicidad. Es el caso del grupo automovilístico BMW, que ha mandado un 'mail' a todos sus clientes en el que les solicita renovar su aceptación para mandarles información sobre la marca.
En la captación de datos se debe informar de los nuevos derechos que contempla el reglamento (aparte de los ya reconocidos), como la portabilidad ?los datos deben estar preparados para pasárselos en un formato accesible a un competidor? y el derecho al olvido. Además de todas las novedades en torno al consentimiento, las empresas deberán establecer protocolos para almacenar de forma correcta los datos y destruirlos cuando hayan cumplido su finalidad.
Por lo general, las compañías, aparte de los datos personales de clientes, deben velar por los que tienen de sus empleados y también asegurarse de que ellos tratan con adecuada confidencialidad los datos de los clientes. En este sentido, el reglamento presta especial atención a cuestiones como la huella dactilar que ahora se solicita en muchos centros de trabajo para el acceso. También habría que analizar los ordenadores y móviles con información que se sacan fuera de la oficina, y otro apartado que siempre hay que tener en cuenta es el de las videocámaras.
El capítulo de proveedores merece atención. Lo más habitual es que una empresa contrate con una asesoría la gestión de las nóminas y con una firma de informática el mantenimiento de los sistemas. Pues bien, estos contratos deben también ser revisados con la nueva normativa. "La compañía debe velar por que cumplan la regulación. Por ejemplo, si yo tengo una firma contratada para destruir los documentos de los asegurados debo cerciorarme de que lo hace de forma adecuada. Y acreditarlo", apunta Pablo Garrote, delegado de protección de datos del grupo Igualatorio Médico Quirúrgico (IMQ). Esta figura es otra gran novedad. Las empresas que manejan gran cantidad de datos y, sobre todo, si son sensibles como los de salud, están obligadas a disponer de ella.
¿Es necesario contratar a una firma especializada para adaptarse? La respuesta no es fácil. Las empresas muy pequeñas pueden arreglarse con el manual de la AEPD, pero cada caso es diferente. A partir de los 20 trabajadores es difícil que se apañen solas, estiman las fuentes consultadas. La lista de las empresas más afectadas es interminable. La encabezan las de márketing y comercio electrónico, que tendrán que cuidar las bases de datos que usan, pero destacan también las aseguradoras, las financieras, las clínicas, las agencias de viajes, gestorías, bufetes de abogados, los instaladores de alarmas...
"Entendemos que el derecho a la privacidad es importante y que lo que ha sucedido con Facebook es muy preocupante ?señala la portavoz de Cecale?. Pero a la vez pedimos que se tenga en cuenta que son las empresas más grandes las que tienen capacidad para, por ejemplo, cruzar datos y debe ser a estas a las que más comprometa el deber de tratarlos de forma escrupulosa". Para Ángela de Miguel, en la aplicación práctica de la norma estará el quid de la cuestión, porque "no se puede tratar por igual a una micropyme, que si incurre en una falta será seguramente por un error involuntario".
El Norte de Castilla