Las empresas se preparan ante la nueva ley de protección de datos personales

La normativa será de obligado cumplimiento desde el 25 de mayo

1768
Se llama Reglamento General de Protección de Datos, afecta a toda la UE y su objetivo es reforzar en materia de seguridad la custodia de la información personal que los usuarios ofrecen a las compañías. Una norma exigente que contempla importantes multas en caso de incumplimiento y que supondrá un mayor poder de control de los ciudadanos sobre sus datos.

Por Raúl Alonso. Ilustración: Romualdo Faura

A medida que la relación cliente-empresa se digitaliza, crece entre los ciudadanos la preocupación por el uso que se hace de sus datos en transacciones tan habituales como la compra de un billete de avión o el registro en un hotel. Preocupación que alcanza estado de alarma cuando, desde los medios de comunicación, se informa de que una u otra compañía ha sido hackeada, poniendo al descubierto durante horas información sensible de sus millones de usuarios. Con este deseo de protección de la información custodiada, la Unión Europea redactó el nuevo Reglamento General de Protección de Datos (RGPD), que será de obligado cumplimiento para todas las empresas desde el próximo 25 de mayo. Por supuesto, también para la empresa turística.

“Se trata de una norma exigente, que requiere de tiempo de valoración y de una toma de decisiones y acciones concretas”, explica Antonio Quevedo, CEO de Audisec, empresa española de consultoría y desarrollo de soluciones informáticas para el control y gestión de datos personales. Pero la advertencia de Quevedo va más allá: “Si no lo han hecho ya, las empresas se deben tomar muy en serio su adaptación al nuevo reglamento, para lo que hay que contar con unos perfiles profesionales legales y técnicos muy específicos que les asesoren en todo el proceso”.

Las empresas tendrán que realizar ante la AEPD una declaración de tratamiento de datos en función de su estructura o nivel de riesgo

Y si alguien necesita motivación adicional, también se puede recordar la dureza con la que la nueva ley sanciona su incumplimiento: contempla multas de hasta el 4% de la facturación global de la empresa o grupo de empresas. Quevedo aporta una tercera justificación no menos importante al recordar el desgaste en términos de imagen: “La posibilidad de que se pueda acceder a esa información es un duro golpe a la reputación de cualquier compañía”.

EL DELEGADO DE PROTECCIÓN DE DATOS GANA PODER
Un perfil profesional en ascenso con la nueva normativa es el delegado de protección de datos: “Es el máximo responsable del cumplimiento de la nueva normativa”, según rápida definición de Antonio Quevedo. El CEO de la consultora Audisec explica cómo tras la redacción del nuevo Reglamento Europeo de Protección de Datos no solo se institucionaliza esta figura ya presente en muchas empresas, sino que se le dota de mayores atribuciones y recursos financieros y humanos, “ya que es una obligación de la empresa garantizar el desempeño de sus funciones”. Un puesto que, en el organigrama empresarial, cuelga de la Dirección General, y cuenta con una gran autonomía de decisión en el ejercicio de su labor profesional que, además de la supervisión, incluye las obligaciones de informar y asesorar. Sus funciones pueden ser cubiertas por un trabajador interno de la compañía, por un profesional independiente externo o por una empresa especializada. Sea quien sea, obviamente debe ser experto en Derecho y especializado en protección de datos, si bien la ley no determina que deba ser abogado. Es más que probable que, por iniciativa de la Agencia Española de Protección de Datos y la Entidad Nacional de Acreditación, muy pronto se cree un modelo de acreditación para estos profesionales.

SEGURIDAD ADAPTADA AL NIVEL DE RIESGO
Y es que, si hay un punto en el que el RGPD hila fino, es el de seguridad: “A diferencia de en la anterior regulación, ahora no se habla de niveles de seguridad, sino de nivel de protección y encriptación de los datos, que cada empresa debe valorar para que sea el adecuado en función de su estructura, tipo de datos que maneja o nivel de riesgo”. Unas soluciones que, en opinión de Quevedo, “deben partir de un análisis responsable del nivel de riesgo al que se enfrenta”. Para este experto, antes de tomar decisiones sobre medidas concretas para el cumplimiento del RGPD, es necesario hacer una consultoría que dibuje un completo mapa de situación: “Solo así las empresas acertarán con su plan de actuación”.

NUEVAS OBLIGACIONES
Uno de los cambios más significativos se refiere a la inscripción de los ficheros de datos en la Agencia Española de Protección de Datos (AEPD), un procedimiento burocrático que pasa al olvido. Con la nueva norma, la obligación de la empresa ante el organismo es hacer una declaración de tratamiento de datos, tal y como se ha explicado, responsable en función de la situación de cada empresa.

En la publicación Protección de datos: guía para el ciudadano, de la AEPD, se señalan los principales cambios que el nuevo reglamento europeo impone. “En su mayoría, están muy enfocados a dar un mayor control al ciudadano de la información que sobre él se maneja”, explica Quevedo, objetivo para el que la empresa debe poner a disposición del usuario una dirección electrónica de correo que le permita ejercer sus derechos con total comodidad. Hacemos un rápido recorrido por los supuestos más habituales:

Derecho de acceso. Desde mayo, cualquier ciudadano podrá exigir conocer el plazo de tiempo durante el que sus datos van a ser conservados. También debe ser informado en el caso de que la empresa que los custodia vaya a realizar una transferencia internacional de datos.
Derecho a rectificación. En la actualidad, el titular puede rectificar los datos inexactos, pero ahora esta facultad se amplía a la de incluir nuevos datos, por ejemplo, cuando una persona cambia de estado civil.
Derecho al olvido. Sin duda, uno de los más reclamados por el ciudadano. Se podrá exigir la supresión de los datos personales sin dilación cuando concurran alguno de los supuestos incluidos en el reglamento o cuando, simplemente, haya desaparecido la finalidad para la que se recabó (en este supuesto, ejerciendo el derecho de supresión). El derecho al olvido tiene limitaciones en los principios de libertad de expresión e información, y desde Audisec se califica como “de compleja articulación por su variada casuística, lo que exige soluciones muy personalizadas”.
Derecho a la limitación de tratamiento. Hay dos supuestos en los que la empresa debe acceder a una suspensión temporal del tratamiento de datos: mientras el responsable del archivo verifica la exactitud de los mismos por petición del usuario, o mientras se determina si la petición de suspensión solicitada es legítima.
Portabilidad de datos. El usuario podrá solicitar recibir sus datos personales en un formato “estructurado y de uso común”, una medida encaminada a dotar de mayor transparencia al sistema.
Derecho de oposición. Asimismo, se podrá negar al tratamiento de datos personales cuyas finalidades comerciales sean ajenas al objeto para el que fueron recogidos en su momento.
Derecho a no ser objeto de decisiones individualizadas. Otra de las novedades más significativas del reglamento. La empresa no podrá hacer un tratamiento individual automatizado para crear un perfil con el que se vayan a tomar decisiones individualizadas. Una limitación que cuenta con tres excepciones: cuando sea necesario para la prestación del servicio/contrato, cuando lo permita el Derecho de la UE o de los Estados miembros o cuando cuente con el consentimiento expreso del titular de los datos, para lo que previamente se le deberá haber informado del objetivo para el que se hace y cómo le puede influir.

Queda claro que la aplicación del Reglamento General de Protección de Datos marca un antes y un después en las obligaciones de custodia, la transparencia del sistema y la relación de la empresa con el usuario y titular de los datos. En opinión de Antonio Quevedo, las empresas no pueden olvidar implicar a toda la organización en este objetivo: “Para ello, es necesaria una labor de formación y concienciación de toda la plantilla en aspectos técnicos y otros que son de sentido común”, aclara. “De poco sirve que la organización adopte medidas de seguridad muy sofisticadas si luego no hay una prevención en el uso del correo, una vía habitual de entrada de malware en las empresas”.