proteccion y seguridad

La nueva ley de datos afectará a más de 60.000 organizaciones vascas

Una persona examina, frente a la pantalla de su ordenador, distintos comentarios publicados por varios usuarios en sus cuentas de Twitter.Foto: Sergio Barrenechea

De aplicación directa en toda la UE, entrará en vigor el viernes para reforzar la seguridad jurídica de los usuarios

Jorge Napal - Miércoles, 23 de Mayo de 2018 - Actualizado a las 06:00h.

Donostia - No habrá ninguna prórroga. Cualquier empresa que maneje información de usuarios, por pequeña que sea, tendrá que estar al día para el viernes en materia de protección de datos personales, tal y como exige el nuevo reglamento europeo. La norma afecta a más de 60.000 firmas vascas. La Regulación General de Protección de Datos entró en vigor en 2016 y se estableció un plazo de adaptación de dos años que concluye ahora, con una normativa europea en la que los 28 socios comunitarios han trabajado durante los últimos 24 meses.

Las dudas, en cualquier caso, no han desaparecido para todas las empresas: ¿Cómo debo tratar mis bases de datos si tengo sedes en Europa y Estados Unidos? ¿Qué exigencias me impone la nueva normativa para la venta on line de mis productos? El cambio normativo ofrece al usuario más control sobre sus datos, dando más importancia a derechos como el del olvido o el de la portabilidad. También cambiará la famosa casilla de Términos y condiciones de uso, y se pasará de dar un consentimiento tácito a otro de carácter expreso. Se acabaron, asimismo, las notas legales llenas de jerga técnica y difíciles de entender: esos términos y condiciones tendrán que ser a partir de ahora de fácil comprensión e incluso podrían ir acompañados de emoticonos e imágenes para hacer aún más sencillo que cualquier persona pueda comprender los términos.

Las empresas realizan un esprint final para adecuarse, aunque “no todas han hecho los deberes a tiempo”, según advierte Ramón Solórzano, abogado y responsable del departamento de nuevas tecnologías de BSK, con sedes en Donostia, Gasteiz e Iruñea, y asesor en esta materia. “La gran mayoría de empresas está aprovechando los últimos días para adecuarse y estamos observando un gran número de consultas para responder a los nuevos requerimientos en un tiempo récord. Hay empresas que ni siquiera hacían un adecuado cumplimiento de la normativa actual, por lo que tienen bastante trabajo por delante”, observa.

La lista de firmas más afectadas está encabezada por las dedicadas al Marketing y al comercio electrónico, que tendrán que cuidar las bases de datos que usan, pero también destacan las compañías aseguradoras, las financieras, las clínicas, las agencias de viajes, las gestorías o los propios bufetes de abogados. Las empresas deben ponerse manos a la obra para adaptarse a esa normativa europea y, en muchos casos, aquellos organismos que manejen información personal a gran escala, deberán disponer de un delegado de protección de datos, que será el encargado de velar por el cumplimiento de la normativa. “El silencio es un no. Como empresa es necesario obtener el sí para poder manejar datos de personas físicas”, precisan desde BSK.

Protección y seguridad A partir de ahora se deberá informar de manera muy clara de la finalidad para la que se solicita la información y recabar el consentimiento expreso de la persona usuaria. Ya no vale que sea tácito. El eje central de la nueva normativa es la protección y seguridad de las personas. Según explica Solórzano, “hoy en día tenemos una dispersión tremenda de aplicaciones, empresas y entidades que nos piden los datos, que nosotros ofrecemos de manera inconsciente. Esa información va fluctuando y esos datos se van quedando por todas partes. La normativa pretende ahora colocar al usuario en el control de su información poniendo limitaciones a todo tipo de organizaciones”.

Pero no todo está tan claro. Montse Segarra, consultora de la compañía PKF Attest, con sede en Bilbao, explica que actualmente existe “cierta incertidumbre” en relación a las partes de la normativa que hay que cumplir. Y es que el citado reglamento europeo requiere posteriormente de la interpretación de cada Estado miembro. “Muchos artículos precisan la transposición a una ley que todavía está en el Parlamento con más de 200 enmiendas que deberían haberse aprobado para estas fechas”, señala Segarra.

El reglamento está redactado de tal manera que establece los principios de actuación, pero no entra en la letra pequeña. Esto significa, explicó Segarra, “que estamos acostumbrados a que un artículo diga lo que hay que hacer o lo que no, y que la sociedad lo acate de tal manera que si se descubre a quien incumple, se le imponga un castigo. Este nuevo reglamento, en cambio, está redactado al estilo anglosajón, que viene a decir que partiendo de unos principios de actuación hay que demostrar posteriormente su cumplimiento. Es un planteamiento muy europeo que a los latinos nos está costando mucho encajar porque no estamos acostumbrados a demostrar que cumplimos. Más bien, esperamos a que nos digan lo que podemos hacer o no y que nadie nos descubra en la falta”, manifestó la experta.

Las consultorías entienden que las administraciones públicas pueden verse afectadas porque tradicionalmente “no han sido muy proactivas” en el cumplimiento de la ley anterior. “Al no ser sancionadas económicamente, sobre todo en el caso de las administraciones con menos recursos, siempre ha sido más complicado que hicieran un seguimiento adecuado. Ahora, el reglamento europeo viene a ser mucho más exigente, y más que haber un nivel de adecuación hay una revolución para las administraciones, más bien por desidia que por falta de cumplimiento, en general”, atestigua esta consultora de PKF Attest.

Además de ayuntamientos y administraciones locales, todas las compañías telefónicas “se van a ver seriamente afectadas” ya que sus incumplimientos sistemáticos han acarreado muchas sanciones por parte de la Agencia Española de Protección de Datos. Teniendo en cuenta las cuantías de las nuevas multas, no podrán dejarse llevar por la desidia. Las sanciones son muy elevadas: de los 50.000 euros fijados hasta ahora se pasa a 10 millones de euros o hasta 20 en el caso de los reincidentes, o el 4% de la facturación anual del ejercicio anterior. Organizaciones como Facebook o Google, que antiguamente eran las grandes incumplidoras en estas áreas, están viendo la necesidad de adecuarse.

aclarando dudas

Secciones