Cómo afecta a las empresas la nueva Ley de Protección de Datos europea

Da igual dónde se ubique su negocio, ya sea Alemania, México o China, si maneja información personal de ciudadanos europeos, tendrá que cumplir con el nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea, que entrará en vigor el próximo 25 de mayo. De hecho, Facebook ya se está adaptando al nuevo marco normativo, más aún después del reciente escándalo por el robo de información personal de miles de sus usuarios. Y más le vale, porque el incumplimiento sale muy caro. Nada menos que el 4% de la facturación anual del último ejercicio o 20 millones de euros, lo que salga más alto, para los supuestos más graves. La idea es que sea un castigo ejemplar, lo que obliga a las empresas a extremar en la seguridad de sus datos, máxime en un entorno digital, donde los ciberataques están a la orden del día. Desde luego, el severo régimen sancionador es disuasorio. Para gigantes como Facebook no supondría una estocada mortal, pero sí para muchas empresas con ingresos mucho más modestos, por no hablar de la mala reputación que un caso de estos conlleva.

Con este escenario, no es de extrañar que la concienciación de las compañías en la materia sea alta y que una de cada tres multinacionales considere que el impacto del GDPR es una amenaza a su existencia, según las conclusiones de una encuesta recién elaborada por NetApp a directivos de IT de empresas de Estados Unidos, Reino Unido, Francia y Alemania.

Aparte de las multas, otra novedad que incorpora el Reglamento es la creación de la figura del Delegado de Protección de Datos (DPO), cuya función será velar por el cumplimiento de la ley dentro de las organizaciones. Es obligatorio para organismos públicos, empresas con más de 250 trabajadores y para aquellas que, aun teniendo menos empleados (incluso autónomos), manejen un volumen alto de información personal sensible como bancos, aseguradoras, eléctricas, operadoras de telefonía, seguridad privada, colegios profesionales, centros sanitarios y docentes o agencias de publicidad (se contempla una quincena de excepciones).

La exigencia de transparencia es tal que las empresas estarán obligadas a elaborar un informe con los datos que posean y el uso de los mismos si un consumidor se lo requiere. De producirse alguna brecha de seguridad, se deberá comunicar a las autoridades de control en un plazo máximo de 72 horas.

A los consumidores se les amplían sus derechos. Además de los habituales de rectificación, cancelación y oposición, tienen derecho al olvido en determinados supuestos y a la portabilidad de los datos, pero no entendido como el modelo que aplican las operadoras de telefonía. En este caso, la portabilidad no implicará el borrado de los datos de la empresa que porte la información personal.

Otro aspecto importante es que ya no se podrán obtener los datos de forma tácita, sino que tiene que ser de forma expresa, identificando claramente quién será el propietario de la información. En román paladino, ya no se podrán compartir los datos entre subsidiarias y mucho menos pre-marcar la casilla de aceptación en caso de un formulario online.

Además, habrá que rediseñar y reubicar los avisos y cláusulas informativos para que sean más visibles y no parezcan la letra pequeña de la captación de datos.

La Agencia Española de Protección de Datos (AGPD) ha puesto a disposición de las empresas una herramienta para chequear el nivel de protección y los posibles riesgos que se pueden incurrir, incluso orienta sobre las cláusulas que se tienen que incluir.

De este modo se pretende poner coto a las empresas que captan datos personales de manera poco lícita y obligar a las compañías a ser más cuidadosas y transparentes con el manejo de la información para evitar robos de datos o que se hagan sospechosamente públicos.

En aras de armonizar el marco legislativo nacional al nuevo Reglamento europeo, España está elaborando una nueva ley que sustituirá a la vigente Ley Orgánica de Protección de Datos (LOPD), que data, nada menos que de 1999. Una norma elaborada en pleno boom de internet pero cuando aún no existían las redes sociales o las dichosas cookies, que nos persiguen allá por donde naveguemos a partir de nuestros patrones de uso, y mucho menos se hablaba otrora del empleo de la inteligencia artificial y el aprendizaje automático para escrutar y sacar parámetros de comportamiento de los consumidores.