Las penalidades para adaptarse al Reglamento General de Protección de Datos (RGPD) que han sufrido empresas y autónomos

Las microempresas, autónomos y profesionales están pasando un calvario para adaptarse al Reglamento General de Protección de Datos (RGPD)

 

Después de casi dos años desde la promulgación en el Parlamento Europeo del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, más conocido como Reglamento General de Protección de Datos (RGPD), finalmente el pasado día 25 de mayo se produjo su entrada en vigor. Esto supone que el RGPD es ya plenamente aplicable en toda la Unión Europea.

El nuevo RGPD da una respuesta al vacío legal que existía en muchos países europeos en la captación y el tratamiento de datos de carácter personal, porque a pesar de que las leyes nacionales vienen disciplinando la protección de datos de las personas físicas, la tecnología va siempre varios pasos por delante del ordenamiento jurídico de los Estados y constantemente provoca cuestiones legales en escenarios de protección de datos que no han sido contemplados legislativamente y que requieren unas normas legales específicas. El RGPD afecta a cualquier organización, empresa, autónomo o profesional que opere en la Unión Europea, e incluso a aquellas que, estando fuera de la UE, operen con datos de ciudadanos europeos.

El RGPD es el marco regulatorio con el que la UE facilita la transición a la nueva sociedad digital, garantizando la protección de los usuarios que sean personas naturales en materia de privacidad y seguridad de su información personal. El punto de partida es una definición novedosa de lo que es un dato personal, ya que cualquier información que incluso de forma indirecta permita identificar de forma unívoca a un usuario, es también considerada un dato personal; por ejemplo, un correo electrónico, una IP o un código de usuario.

Esta norma emanada del ordenamiento jurídico de la UE ha llegado para otorgar a los ciudadanos más control sobre la recopilación y utilización de sus datos personales en internet y reforzar la protección en caso de una filtración de la información; todos ellos unos nobles y leales propósitos que comparto plenamente.

El RGPD establece que el consentimiento del interesado ahora debe ser explícito; es decir no puede ser tácito y con una base jurídica explicada de forma concisa y nunca sobreentendido. Por defecto, si no se ha dado el consentimiento expreso, libre, inequívoco e informado, este no es válido; o sea no existe. A partir de este precepto el RGPD desarrolla toda una metodología operativa de cumplimiento para las empresas, que pueden ser auditadas periódicamente. El protocolo en el nuevo tratamiento de los datos personales de los europeos incluye análisis de impacto y de riesgo, certificaciones, registros de tratamiento de la información y protocolos de comunicación a las autoridades en caso de violaciones de seguridad. Las multas en caso de infracción pueden alcanzar los 20 millones de euros o el 4% de la facturación de una empresa, cantidades en ambos casos muy elevadas.

La adaptación al RGPD ha supuesto un reto muy importante para las empresas y autónomos europeos, por no decir pasar por un calvario. La implementación de la normativa en las empresas y autónomos implica un plan de transformación, con actuaciones a nivel de procesos, gestión del cambio, formación del personal y de los cargos directivos, estructura organizativa de las corporaciones, gestión de datos estructurados y desestructurados, analítica en los canales donde se captan datos, y por supuesto, protocolos de seguridad y comunicación de los eventos de ruptura de la seguridad. El plan integral para una implantación exitosa del RGPD ha requerido una ingente actividad a muchos niveles de la organización que debía haberse iniciado un año antes del plazo máximo otorgado por el UE y que era el 25 de mayo. Sin embargo, muchas empresas en el sur de Europa han esperado hasta los últimos meses para poner en marcha el plan de adaptación al RGPD y algunas han esperado hasta el penúltimo día para solicitar a los interesados que integran sus bases de datos la confirmación de su consentimiento para permanecer en los registros a partir del día 25. Esto ha ocasionado un curioso fenómeno de que durante los últimos días millones de ciudadanos del sur de Europa vieron sus aplicaciones de mensajería electrónica inundadas por un alud de emails en los que se les solicitaba su consentimiento expreso para conservar sus informaciones en las bases de datos y, por ejemplo, seguir recibiendo los boletines informativos que envían las editoriales con las novedades que se publican cada mes.

Sin ninguna duda, el nuevo Reglamento europeo de protección de datos servirá para dar mayor confianza a los ciudadanos residentes en la UE a la hora de compartir sus datos en la red, mediante, por ejemplo, las compras online, la suscripción a un boletín, o en el uso de las redes sociales. El RGPD ayuda a controlar la utilización que hacen las organizaciones de los datos personales que recopilan y garantiza los procedimientos necesarios para protegerlos. Los ciudadanos europeos podrán obligar a las empresas que les han incluido en sus bases de datos de clientes que den de baja la información que tengan de sus datos personales; por ejemplo, para dejar de recibir publicidad no deseada. Además, tendrán un nuevo derecho:  el de solicitar la portabilidad de datos; este derecho faculta al interesado a derecho a reclamar sus datos personales almacenados por las compañías proveedoras del servicio en la red si quieren cambiar a una nueva; por ejemplo, un lector suscrito a un diario salmón solicita al responsable todos los datos que tiene sobre él.

No obstante, la adaptación de las empresas a los preceptos que ha impuesto el RGPD ha sido dificultosa y costosa. El texto del RGPD no establece diferenciaciones entre las bases de datos que pueda tener un profesional autónomo para enviar una newsletter mensual y cuya información registrada consista únicamente en una dirección de correo electrónico y los que pueda tener una multinacional que guarda muchos datos personales de sus clientes. En consecuencia, las microempresas, autónomos y profesionales europeos han tenido que cumplir los mismos requisitos en cuanto a sus deberes como responsables del tratamiento de datos que una multinacional; lo que ha supuesto una inversión de tiempo y dinero, así como pasar una fase de dudas, incertidumbres y miedos. Hubiera sido deseable establecer para los autónomos y profesionales de la UE un régimen simplificado de adaptación al RGPD, pero los políticos europeos no han estado por la labor.

Y, hablando de newsletter, le invitamos a suscribirse a la nuestra; para hacerlo tiene el formulario de suscripción a la derecha de esta página, que por cierto hemos adaptado al RGPD.

 

Autor: Pere Brachfield
Todos los derechos reservados; se prohíbe la reproducción total o parcial de este artículo