La nueva ley de datos afecta a más de 20.500 empresas guipuzcoanas

Un usuario, frente a la pantalla del ordenador.

Es de aplicación directa en toda la UE y entra en vigor el día 25 de este mes con el objetivo de reforzar la seguridad jurídica

Jorge Napal - Domingo, 13 de Mayo de 2018 - Actualizado a las 06:03h.

donostia - No habrá ninguna prórroga. Cualquier empresa que maneje información de usuarios, por pequeña que sea, tendrá que estar al día para el sábado día 25 en materia de protección de datos personales, tal y como exige el nuevo reglamento europeo. La norma afecta a más de 60.000 firmas vascas, de las cuales 20.577 son guipuzcoanas.

La Regulación General de Protección de Datos entró en vigor en 2016 y se estableció un plazo de adaptación de dos años que concluye ahora, con una normativa europea en la que los 28 socios comunitarios han trabajado durante los últimos 24 meses.

Las dudas, en cualquier caso, no han desaparecido para todas las empresas: ¿cómo debo tratar mis bases de datos si tengo sedes en Europa y Estados Unidos? ¿Qué exigencias me impone la nueva normativa para la venta online de mis productos?

El cambio normativo ofrece al usuario más control sobre sus datos, dando más importancia a derechos como el del olvido o la portabilidad. También cambiará la famosa casilla de términos y condiciones, y se pasará de dar un consentimiento tácito a uno expreso.

Se acabaron, asimismo, las notas legales llenas de jerga técnica y difíciles de entender: esos términos y condiciones tendrán que ser a partir de ahora de fácil comprensión e incluso podrían ir acompañados de emoticonos e imágenes para hacer aún más sencillo que todo usuario pueda comprender los términos.

Las empresas están realizando un esprint final para adecuarse, aunque “no todas han hecho los deberes a tiempo”, según advierte Ramón Solórzano, abogado y responsable del departamento de nuevas tecnologías de BSK, despacho con sedes en Donostia, Gasteiz e Iruñea que asesora en esta materia.

“La gran mayoría de empresas está aprovechando los últimos días para adecuarse, y estamos observando un gran número de consultas para responder a los nuevos requerimientos en un tiempo récord. Hay empresas que ni siquiera hacían un adecuado cumplimiento de la normativa actual, por lo que tienen bastante trabajo por delante”, observa el experto.

La lista de firmas más afectadas la encabezan las de marketing y comercio electrónico, que tendrán que cuidar las bases de datos que usan, pero también destacan las aseguradoras, las financieras, las clínicas, las agencias de viajes, las gestorías o los bufetes de abogados.

Las empresas deben ponerse manos a la obra para adaptarse y en muchos casos, aquellos organismos que manejen información personal a gran escala, deberán disponer de un delegado de protección de datos (DPD), que será el encargado de velar por el cumplimiento de la normativa. “El silencio es un no. Como empresa es necesario obtener el sí para poder manejar datos de personas físicas”, precisan desde BSK.

Protección y seguridad A partir de ahora, se deberá informar de manera muy clara de la finalidad para la que se solicita la información y recabar el consentimiento expreso de la persona.

Ya no vale que sea tácito. El eje central de la nueva normativa es la protección y seguridad de las personas. Según explica Solórzano, “hoy en día tenemos una dispersión tremenda de aplicaciones, empresas y entidades que nos piden los datos, que nosotros ofrecemos de manera inconsciente. Esa información va fluctuando y esos datos se van quedando por todas partes. La normativa pretende ahora colocar al usuario en el control de su información poniendo limitaciones a todo tipo de organizaciones”.

Pero no todo está tan claro. Montse Segarra, consultora de la compañía PKF ATTEST, con sede en Bilbao, explica que actualmente existe “cierta incertidumbre” en relación a las partes del reglamento que hay que cumplir.

El reglamento europeo requiere posteriormente de la interpretación de cada Estado. “Muchos artículos precisan la transposición a una ley que todavía está en el Parlamento con más de 200 enmiendas que deberían haberse aprobado para estas fechas”, señala Segarra.

El reglamento está redactado de tal manera que establece los principios de actuación, pero no entra en la letra pequeña. Es decir: “Estamos acostumbrados a que un artículo diga lo que hay que hacer o lo que no, y que la sociedad lo acate de tal manera que si se descubre a quien incumple se le imponga un castigo. Este nuevo reglamento, en cambio, está redactado al estilo anglosajón, que viene a decir que partiendo de unos principios de actuación hay que demostrar posteriormente su cumplimiento. Es un planteamiento muy europeo que a los latinos nos está costando mucho encajar porque no estamos acostumbrados a demostrar que cumplimos. Más bien, esperamos a que nos digan lo que podemos hacer o no, y que nadie nos descubra en la falta”, sostiene la experta.

Las consultorías entienden que las administraciones públicas pueden verse afectadas porque tradicionalmente “no han sido muy proactivas” en el cumplimiento de la ley anterior. “Al no ser sancionadas económicamente, sobre todo en el caso de las administraciones con menos recursos, siempre ha sido más complicado que hicieran un seguimiento adecuado. Ahora, el reglamento europeo viene a ser mucho más exigente, y más que haber un nivel de adecuación hay una revolución para las administraciones, más bien por desidia que por falta de cumplimiento, en general”, dice la consultora de la compañía PKF ATTEST.

Además de ayuntamientos y administraciones locales, todas las compañías telefónicas “se van a ver seriamente afectadas”, ya que sus incumplimientos sistemáticos han acarreado muchas sanciones por parte de la Agencia Española de Datos. Teniendo en cuenta las cuantías de las nuevas multas, no podrán dejarse llevar por la desidia. Las sanciones son muy elevadas. De los 50.000 euros fijados hasta ahora se pasa a diez millones de euros (20 si se es reincidente), o el 4% de la facturación anual del ejercicio anterior. Organizaciones como Facebook o Google, que antiguamente eran las grandes incumplidoras en estas áreas, están viendo la necesidad de adecuarse.

aclarando dudas

¿Cómo se procesan los datos? El usuario tiende a pensar que sus datos se procesan de forma anónima pero no es así. Dependiendo del comportamiento de navegación, las empresas pueden recabar información precisa, aunque se utilicen pseudónimos. A partir del 25 de mayo, el rastreo de los usuarios con fines publicitarios se regulará de una forma más estricta.

¿Se puede solicitar que se muestre la información almacenada en cualquier momento?

Sí, el usuario puede pedir que se le enseñe, se corrija o se eliminen sus datos en cuanto lo requiera. Sin embargo, el desistimiento al procesamiento de esa información no tendrá un carácter retroactivo, es decir, sólo afectará a los datos futuros, pero no a los pasados.

¿Cambian las normas si el usuario es menor de edad?

Sí, el nuevo reglamento protege de forma más estricta a los menores de edad. A partir de los trece años ya puede mostrar su conformidad con el tratamiento de los datos.

Secciones