Mediador, el Reglamento de Protección de Datos está llamando a tu puerta

El peligro ya está aquí. El próximo 25 de mayo comenzará a aplicarse el Reglamento General de Protección de Datos (RGPD) en todos los Estados miembros de la UE, entre los que se incluye España. Ya casi han pasado los 2 años concedidos por los legisladores comunitarios para que los países se adaptasen a los cambios y los dieran a conocer a las empresas y a la sociedad en general. Pero queda poco más de 2 meses y las dudas persisten. Así se ha reflejado en Forinvest, el mayor espacio de networking financiero empresarial del país y que se está celebrando estos días en Valencia.

Lejos de quedarse de brazos cruzados, la mediación está intentando hacer frente al problema que se avecina. En el marco de Forinvest, se han celebrado dos jornadas al respecto: 'El desafío en la empresa ante la aplicación del nuevo RGPD',  durante el III Encuentro Espanor e impartida por Irene Robledo de Castro, abogada especializada en Protección de Datos y Ciberriesgos de DAC Beachroft; y "¿Está mi empresa preparada para la nueva normativa de Protección de Datos", a cargo de José J. Ivars, titular de IvarsTec Seguridad de la Información, y organizada por ACS-CV.

"El marco legislativo nos va a obligar el próximo 25 de mayo a tomar decisiones importantes", ha avisado Maciste Argente, presidente de Fecor y director del Área de Gestión del Conocimiento de Espanor. Y, efectivamente, hay que adquirir conocimientos a marchas forzadas. Éstas son algunas de las principales novedades que conviene tener en cuenta:

  • Notificación. La nueva legislación obligará a las empresas a notificar a la Agencia Española de Protección de Datos (AEPD) cualquier violación de seguridad que se produzca en su seno en un plazo máximo de 72 horas. "Una brecha de seguridad puede ser la pérdida del ordenador portátil, el acceso no autorizado a bases de datos, el borrado accidental de información, la exposición pública de datos sensibles o la usurpación de la identidad", ha aclarado José J. Ivars.
  • Derechos de los titulares de los datos. Se mantienen los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y se añaden otros 3: derecho al olvido, a la portabilidad y a la transparencia. En relación al primero, Irene Robledo de Castro ha especificado que se trata "del derecho de cancelación de toda la vida pero dirigido a los motores de búsqueda on-line" y, en cuanto al segundo, ha hablado de la similitud con la práctica que han venido desarrollando el sector de la telefonía en los últimos años. "Hay que contestar siempre al cliente", ha subrayado el titular de IvarsTec.
  • Consentimiento. El consentimiento del cliente a la empresa para que trate sus datos de carácter personal debe ser "libre y expreso", desapareciendo así el consentimiento "tácito" que se ha venido aplicando en nuestro país. "El silencio, las casillas ya marcadas o la inacción ya no constituirán prueba de consentimiento", ha matizado José J. Ivars. Por su parte, la abogada de DAC Beachroft ha explicado que, a partir de ahora, será necesario que el cliente dé su consentimiento de manera "clara e inequívoca" si desea recibir información comercial o publicitaria. De lo contrario, la empresa no podrá hacerlo. Además, ha indicado que las empresas que adquieran otras tendrán la obligación de comunicar a sus clientes la cesión de sus datos y aprovechar este trámite para informarles de sus derechos en materia de protección de datos, así como las medidas de seguridad que pone a su disposición. Para evitar consecuencias negativas, ha recomendado a las empresas que no compren ficheros ni bases de datos ya que "pueden incurrir en responsabilidad si se utilizan sin obtener el consentimiento expreso de los clientes".
  • Deber de información. La empresa deberá comunicar al cliente la identidad de su Delegado de Protección de Datos, los plazos de conservación de la información, sus derechos de reclamación y el origen de dichos datos, entre otros aspectos. "Y la información deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso", ha señalado José J. Ivars. Y ha añadido: "Debe usarse un lenguaje claro y sencillo. Evitar las fórmulas especialmente farragosas".
  • Medidas de seguridad.  Deben ser las necesarias para garantizar un nivel de seguridad apropiado respecto al riesgo. "Y conviene actualizarlas porque los hackers van muchos pasos por delante", ha aconsejado Irene Robledo de Castro.
  • Análisis de riesgos y evaluación del impacto. Las empresas tienen la obligación de analizar su estructura y funcionamiento de manera sistemática y exhaustiva. Es lo que se conoce como responsabilidad productiva.
  • Delegado de Protección de Datos (DPD). Puede ser personal interno o externo. Los expertos recomiendan que tengan conocimientos legales y tecnológicos aunque el RGPD no lo exige. Como tampoco exige que cuenten con un certificado especial. Si bien, ya se están ofertando y muchas empresas lo prefieren "para quedarse tranquilas", según ha afirmado Irene Robledo de Castro. Todavía se desconoce qué empresas tendrán que contar obligatoriamente con un DPD aunque el anteproyecto español del reglamento, que debe aprobarse en breve, incluye una lista en el que figuran las aseguradoras y reaseguradoras. "Es la única pista que tenemos", reconoce.
  • Tratamiento lícito. No se puede recabar datos en exceso. "Todos los datos que se salgan del propósito establecido deberán ser destruidos", ha especificado la abogada. Por ejemplo, si un corredor tiene un cliente con pólizas contratadas de Autos y Salud pero, años después no renueva la de Salud, tendrá que eliminar todos los datos relacionados con dicho seguro.
  • Indemnizaciones. Los titulares de los datos pueden reclamar judicialmente indemnizaciones por daños y perjuicios si consideran que se han vulnerado sus derechos. Además, el RGPD autoriza que asociaciones sin ánimo de lucro puedan reclamar por ellos. "Esto va a provocar que aumente considerablemente el volumen de las indemnizaciones", ha augurado Irene Robledo de Castro.
  • Régimen sancionador. Incremento significativo. Se especifican sanciones de hasta 20 millones de euros o el 4% de la facturación bruta anual.