La obligación de custodiar los datos personales que atañe a todas las empresas
Sanciones de hasta 20 millones de euros en los casos más graves, acompañados de multas por infringir la ley, o la creación de una figura específica que custodie la seguridad de los datos de las personas físicas, son algunas de las novedades que trae el nuevo Reglamento General de Protección de Datos (RGPD).
El próximo 25 de mayo concluye la moratoria concedida por el Gobierno para la adecuación de las empresas al nuevo reglamento, en vigor desde mayo de 2016. La Norma es la misma que comparten todos los Estados miembros de la Unión Europea ya que uno de los objetivos perseguidos era unificar los regímenes. Aunque quedan muchos puntos pendientes de desarrollo, el nuevo reglamento introduce grandes novedades en relación con la anterior Ley de Protección de Datos de Carácter Personal (LOPD). Advertir también que la Ley atañe a cualquier empresa que reúna datos personales de los clientes, independientemente de su actividad, tamaño y se mueva en el mundo digital o el analógico.
Tres son los principios básicos que dominan la norma: el principio de responsabilidad, que exige a las empresas una actitud proactiva estableciendo protocolos y mecanismos que garanticen la seguridad de los datos; el principio de protección de datos por defecto y desde el diseño, es decir que se tenga en cuenta la normativa desde que arranca una empresa y prevalezca el derecho de protección sobre el de consentimiento, y el principio de transparencia que obliga a hacer fácilmente visibles e inteligibles los avisos legales y políticas de privacidad.
El primero de los principios citados enraiza con el Compliance que podría resumirse como un plan de prevención penal que obliga a las empresas a demostrar la voluntad de regirse de acuerdo a Derecho. “La prueba de que las empresas han puesto en marcha mecanismos de prevención suficientes que testifican ante el legislador la voluntad de la compañía de dirigirse conforme a la ley”, explica Antonio Casado, de Casado Mena Abogados.
La misión del DPO
El Compliance obliga, pues, a las empresas a identificar dentro de la organización los posibles riesgos de comisión de delitos tras realizar una especie de auditoría interna. A ello, el RGPD suma ahora la obligatoria protección de los datos de las personas físicas. Para tal fin surge una figura de nueva creación, el DPO (Data Protection Officer) o Delegado de Protección de Datos, cargo que puede desempeñar tanto una persona incorporada a la plantilla como un profesional externo. Al cargo “se le presupone cierta enjundia y autoridad para desempeñar su trabajo con autonomía”, dice Alejandro Martínez Méndez, director del departamento de protección de datos, propiedad intelectual y Compliance de la sede en Barcelona de Metricson, firma de servicios jurídicos.
No obstante, están por desarrollar los requisitos exigibles a la persona que desempeñe el cargo del DPO y el organismo autorizado para certificar su validación. “En principio, lo único que se recomienda es que tenga conocimientos jurídicos y de negocio”, aclara Martínez Méndez. Entre sus obligaciones figuran, además de preservar por la seguridad de los datos personales, la de notificar a la Agencia Española de Protección de Datos (AEPD) cualquier incidencia referente a brechas de seguridad, como fuga o apropiación indebida de datos, una tarea nada fácil si se tiene en cuenta que España es uno de los países más afectados por ataques informáticos de todo el mundo.
El establecimiento de estas medidas preventivas ayudarán a las empresas a esquivar las sancionesimpuestas por este motivo, bastante más duras que hasta el momento. “La normativa anterior era mucho más laxa en este sentido, hasta el extremo de que había empresas que preferían jugar con el riesgo de ser pilladas en falta y asumir el coste de la sanción que renunciar a la venta de datos”, asegura Martínez Méndez. Las penas se siguen catalogando como leves, graves y muy graves contemplando para las últimas sanciones de hasta 20 millones de euros acompañadas de multas por el equivalente de entre un 2 y un 4% del importe total de lo facturado”.
En el ámbito digital
Sin embargo, y pese al robustecimiento de las sanciones, las empresas no parecen aún muy preocupadas por la implantación de la nueva Norma. Menos aún aquellos negocios que operan solo en el entorno físico, a pesar de que la ley distingue entre las distintas vías de obtención de datos. Es decir, que lo mismo podría inspeccionarse una academia con alumnos presenciales que otra que ofrezca servicios de formación online, por poner un ejemplo.
“Claro que hay empresas que se pueden ver más afectadas que otras por la nueva ley, como aquellas que se dedican a la minería de datos, pero la ésta atañe a cualquier empresa, incluso a esas que dicen que no tienen ni ordenador”, dice Nando Olcina, responsable de El abogado digital.
Pero hay también empresas sobre las que el peso del nuevo reglamento recae con mayor vigor. Es el caso de Icired, una solución para la reclamación de impagos que maneja ficheros de morosos. “A nosotros nos afecta directamente el artículo 37 y siguientes así que, prácticamente desde los orígenes, nos hemos adecuado a la normativa”, declara Ignacio Mariscal, del equipo jurídico de Icired. Valga también el suyo como ejemplo para advertir de que, ahora sí, la ley parece ir en serio. “A nosotros nos han inspeccionado ya dos veces”, asegura el letrado.