Secciones
Servicios
Destacamos
Las bases de datos elaboradas con información extraída de eventos, tarjetas de visita, curriculums o casillas premarcadas tienen los días contados. A partir del viernes, todas las organizaciones necesitarán el «consentimiento expreso y actualizado» de los usuarios para seguir utilizando sus datos para las finalidades que autoricen y, de ahí, que empresas, instituciones públicas, redes sociales y aplicaciones móviles se afanen por refrescar ese permiso antes de que expire el plazo. La mayoría, por correo electrónico.
A los dos años de la aprobación de la directiva europea que endurece los requisitos en materia de protección de datos, el reglamento que regula el tratamiento de datos personales en la Unión Europea o con datos de sus ciudadanos será ya de directa aplicación -sin necesidad de trasposición a normas nacionales- en todos los estados miembros.
Alejandro Micó. Asociado principal Garrigues «El control de los datos recae en las personas, no en las organizaciones que los manejan»
Isabel Martínez Moriel. Asociada senior Andersen T&L «Refuerza la obligación de supervisar a la gestora de las nóminas o a quien reparte cajas navideñas»
Joaquín Muñoz. Socio Ontier «Es sólo el comienzo, hace falta seguimiento y formar a la plantilla de cara a posibles errores»
Expertos calculan que la mitad de las empresas todavía no cumplen esas exigencias, sobre todo las pymes, y no reaccionar a tiempo puede salirles muy caro. Las sanciones pasan de 600.000 euros a un máximo de veinte millones de euros o el 4% de la facturación anual en el ejercicio anterior a la infracción. «Se opta por el mayor de los importes», señala Vanessa Orive, asociada senior de Garrigues, a lo que Alejandro Micó, asociado principal de Mercantil del despacho agrega que «no cumplir no parece que sea una opción».
En la práctica, el primer paso para evitar disgustos sería valorar la situación de la empresa respecto al tratamiento de datos personales, por ejemplo, con las herramientas habilitadas por la Agencia Española de Protección de Datos (www.agpd.es). Habría que analizar las bases de datos y cómo trata la información de clientes, proveedores e incluso trabajadores, a fin de evaluar riesgos y ver si debe actualizar los permisos. La empresa tiene que elaborar un registro de actividades de tratamiento, un listado exhaustivo de los datos que recaba, cómo y para qué los recopila y qué base legal le legitima para hacerlo (permiso o contrato).
Además, debe valorar si está obligada a designar un delegado de protección de datos (DPO, por sus siglas en inglés) por tratar información a escala masiva, manejar datos sensibles u otros sobre infracciones penales, o bien por pertenecer al sector público, financiero, educativo, seguros, juego, seguridad privada o suministrar luz, agua, gas o teléfono. Y, en caso de ser así, hacerlo cuanto antes y comunicárselo a la AEPD.
Una vez autoevaluada, es momento de subsanar las deficiencias de seguridad, refrescar permisos y adaptar todos los contratos, formularios, mecanismos y procedimientos, como el necesario para comunicar en 72 horas cualquier quiebra de seguridad, y documentar cada paso para poder acreditar que se cumple la ley.
Para Joaquín Muñoz, socio de Ontier y el abogado que ganó la batalla del derecho al olvido a Google, el cambio va más allá de resolver lo urgente. «Es el inicio del cumplimiento y con esos cimientos, un registro y una legitimación del tratamiento bien resueltos, hay que realizar un seguimiento continuo y dar formación a empleados para estar protegido ante posibles errores», recalca.
El cumplimiento diario implica, por ejemplo, reforzar la supervisión sobre empresas a las que se ceden datos, como la gestora a cargo de las nóminas o la mensajería que reparte cajas de Navidad, apunta Isabel Martínez Moriel, de Andersen T&L.
El nuevo reglamento, en definitiva, «pretende que el control de los datos no sea de las organizaciones que los manejan, sino de las propias personas», en palabras de Micó, y de ahí, que la privacidad se establezca desde el diseño y por defecto, de modo que la información en redes sociales será privada hasta que el usuario decida qué quiere mostrar.
A falta de resolver discrepancias como si al intercambiar tarjetas de visita hay que informar del tratamiento que se dará a los datos o no, Ignacio Aparicio, socio de Andersen Tax & Legal, aconseja emplear pseudónimos y «anonimizar los datos personales tras el periodo legal de conservación» para poder usarlos para finalidades estadísticas, aunque se recabaran con otro objetivo.
Se busca delegado de protección de datos para incorporación inmediata en organismos públicos (salvo tribunales y juzgados), hospitales, partidos políticos, sindicatos y otras entidades que traten información sensible o manejen datos de forma sistemática a gran escala, como las redes sociales. En España, esa exigencia se extenderá a entidades financieras, educativas, aseguradoras, empresas de juego, seguridad privada y quienes suministren luz, agua, gas o teléfono. Según María García Zarzalejos,de Andersen Tax & Legal, además de tener conocimientos jurídico-técnicos, debe ser alguien que no sea susceptible de incurrir en conflictos de interés, por tanto ni directivos ni quienes decidan sobre tratamiento de datos, como el responsable de tecnología de la información (IT) o marketing. Puede ser de la organización o alguien externo, mediante un contrato de prestación de servicios.Isabel Martínez Moriel, responsable de Privacy, IT & Digital Business del despacho, aconseja a quienes no estén obligados a contar con ese delegado, interlocutor con la autoridad de control (AEPD) y llamado a facilitar el cumplimiento de la normativa, que designen a un «responsable de privacidad» para desarrollar «una política dinámica, abierta a las opiniones de los usuarios». En una jornada organizada junto a la Federación de Estudios Bursátiles y Financieros, analizó nuevos derechos de los usuarios, como el de portabilidad, limitación del tratamiento, a no ser objeto de decisiones automatizadas y, sobre todo, al olvido. Con el de portabilidad, por ejemplo, alguien que cambie de banco podrá pedir el traslado de su histórico de datos y los perfiles realizados sobre él a partir de su actividad en la 'app' para que le reporten productos ventajosos en su nueva entidad, siempre que no afecte a la propiedad intelectual de la aplicación.
Publicidad
Publicidad
Te puede interesar
-kHZB--170x119@Leonoticias.jpg)
Publicidad
Publicidad
Esta funcionalidad es exclusiva para suscriptores.
Reporta un error en esta noticia
Comentar es una ventaja exclusiva para suscriptores
¿Ya eres suscriptor?
Inicia sesiónNecesitas ser suscriptor para poder votar.