El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (más conocido como GDPR, por sus siglas en inglés) tras el período de adaptación de dos años que la Unión Europea dio para que empresas y organismos públicos pudieran adaptarse a las nuevas exigencias de privacidad y seguridad de la información que esta norma impone.
Se trata, de hecho, de la regulación más ambiciosa en estas lides de cuantas existen en el mundo y su propósito principal es doble: por un lado, aumentar el control de los ciudadanos sobre los datos que facilita a las empresas y, por otro, garantizar la máxima transparencia en su uso y salvaguarda.
No obstante, lo que sobre el papel parece una iniciativa de lo más positiva ha sido (y sigue siendo) un auténtico quebradero de cabeza para muchas empresas que luchan por adaptarse al GDPR. Hablamos de cambios estructurales en muchos casos, que requieren de una revisión completa de los procesos de captura, almacenamiento y gestión de los datos personales pero, también, de la creación de nuevas figuras legales (como el responsable de datos) y el cambio de muchos textos legales de esos que casi nadie lee por completo.
Tanto es así que la consultora KPMG reveló en un estudio publicado en abril que el 54% de las compañías europeas no estaban listas para cumplir con las exigencias del nuevo reglamento. Con todo ello no es de extrañar que, de acuerdo a la firma de análisis IDC, la inversión en España para cumplir con el GDPR alcance los 140,7 millones de euros este año. Y aun así, especialmente entre las pymes, es bastante probable que el cumplimiento normativo se quede corto frente a las expectativas comunitarias.
¿Qué dice el GDPR?
Pero comencemos por el principio, analizando las exigencias concretas que plantea el Reglamento General de Protección de Datos.
La principal novedad de esta norma pasa por el cambio de mentalidad en torno al consentimiento que los usuarios deben hacer para que sus datos puedan ser usados: mientras que antaño valía con autorizaciones laxas (como una mera información de que se utilizaban cookies o un texto tipo que permitía cualquier uso y cesión de la información), ahora se exige un consentimiento explícito para cada tipo de datos y aplicación que se quiera realizar.
Por otro lado, a los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición) se añaden tres nuevos: limitación de tratamiento, portabilidad y el derecho al olvido. Especialmente importante es este último, ya que es una positiva excepción en el panorama regulatorio internacional y mediante el cual todo usuario tiene la posibilidad de exigir que se borre su historial, referencias o menciones en cualquier soporte digital si considera afecta a su vida o reputación. Además, se reduce el plazo para que las empresas puedan responder a estas peticiones, de 40 días a un mes.
En la parte de seguridad, el GDPR exige que las empresas y organismos públicos tomen todas las medidas necesarias y justificables para minimizar los riesgos de un posible ciberataque o filtración de información personal. Eso incluye, por ejemplo, tener en cuenta la privacidad por diseño y por defecto en el desarrollo y contratación de nuevas herramientas digitales. Y, en caso de que lo impensable suceda, la norma incorpora una importante novedad: la entidad debe informar a los reguladores y clientes de lo sucedido, aportando cifras precisas del alcance y la gravedad del incidente.
Más cambios legales
Ahí no se queda el GDPR, ya que el alcance transformador a nivel legal abarca muchos más aspectos. Por ejemplo, todas las cláusulas que incorporemos tanto en los formularios de captación de datos, contratos o avisos de privacidad requieren de que detallemos no solo el uso de la información recogida sino también la base jurídica por la que vamos a tratar los datos (el motivo del mismo), el contacto del delegado de datos (figura que veremos luego) o cualquier potencial exportación de los datos fuera de la organización.
En el lado positivo, al menos en cuanto a complejidad se refiere, ya no es necesario inscribir los ficheros de la empresa ante la Agencia Española de Protección de Datos, sino que se impone la creación, dentro de cada entidad, de un registro de actividades. En él debe describirse, de forma precisa, qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preservar su seguridad y cuándo podrá suprimirlos. Además, si la empresa desea cumplir con el principio de responsabilidad del GDPR, se requiere que las organizaciones sean capaz de demostrar cómo cumplen con los principios de protección de datos al contar con políticas y procedimientos efectivos.
Avisos web y newsletters
Lo más inmediato del GDPR en el día a día de las pymes (y que ya hemos notado los usuarios en nuestras propias carnes) tiene que ver, no obstante, con los avisos web y la gestión de los newsletters.
Como decíamos, el Reglamento General de Protección de Datos sustituye el consentimiento ambiguo anterior por otro que debe ser libre, específico e informado. Eso requiere cambiar, por ejemplo, cualquier formulario de aceptación que pudiera tener casillas premarcadas o cualquier proceso donde considerásemos el silencio como un factor de conformidad.
Eso incluye los antiguos avisos de cookies (donde se indicaba que “si continua navegando consideramos que acepta su uso”) y muchos de los formularios de newsletters, en los que no se indicaba de forma precisa el objeto de las comunicaciones. Mismo caso para todas las bases de datos compradas a terceros o a los usuarios incorporados a las campañas a partir de otras acciones de captación de información personal que no hayan sido correctamente informadas.
Además, todos los nuevos formularios de aceptación deben ser claros y expresos, sin poder englobar estas nuevas cláusulas en medio del resto de términos y condiciones de la web o de la newsletter. En definitiva, eso exige que se recoja explícitamente quién va a gestionar los datos, con qué fin, durante cuánto tiempo y cómo podemos rectificar nuestra cesión desde el minuto uno del proceso.
Eso en lo que tiene que ver con newsletters, pero lo mismo sucede con los avisos de cookies. Según la norma europea, ya no sirve con informar al visitante de que es objeto de rastreo en el portal, sino que se necesita su consentimiento explícito para poderle instalar cookies en su dispositivo. Para ello, bien podemos implementar una compleja herramienta de gestión de estos menesteres o apostar por algunos de los plugins preconfigurados más populares al respecto, como Quantcast, Cookiebot, OneTrust o TrustArc.
El Delegado de Protección de Datos
En base a la antigua Ley de Protección de Datos, las empresas debían tener un responsable y encargado del tratamiento de los datos, pero ahora se exige también la creación de una nueva figura: el Data Protection Officer. Se trata de un nuevo profesional cuya única misión es garantizar el cumplimiento del GDPR y ayudar al resto de personas involucradas en la gestión de información personal a respetar la norma.
Por suerte, en lo que aplica a pymes, no es del todo obligatorio salvo algunas excepciones. Así pues, de acuerdo al Reglamento General de Protección de Datos, tan solo es imperativo en caso de autoridades públicas y aquellas empresas dedicadas como actividad principal a la gestión o monitorización de datos personales y aquellas que traten con información sensible (como salud o criminalidad).
Multas y sanciones
Seguramente se estén preguntando, a estas alturas, el porqué de tanto temor a la entrada en vigor del GDPR, máxime cuando el respeto a la Ley de Protección de Datos nunca ha estado entre las prioridades del tejido empresarial patrio y mucho menos entre las pymes. La explicación es muy sencilla: las sanciones por incumplimiento son las mayores de la Historia.
En un primer nivel, cuando la empresa no pueda demostrar una seguridad o condiciones de privacidad adecuadas o no haya designado un Data Protection Officer, la multa será o bien lo equivalente al 2% del volumen de ingreso anual de la empresa o de 10 millones de euros, el que sea mayor.
Lo peor viene en el segundo nivel, la multa más grave, la cual se aplica si se han infringido los derechos de los sujetos de datos, como la captación o transferencia de datos sin permiso explícito de sus usuarios. En este caso la sanción es o bien del 4% del volumen de ingreso anuales de la empresa o 20 millones de euros, el que sea mayor.
Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.