Las pymes y los datos, una ventana de oportunidad con vistas a un mar de dudas
El nuevo reglamento, obligatorio desde mayo, puede ofrecer ventajas competitivas, pero muchas empresas aún tienen deberes pendientes
Las empresas están en plena cuenta atrás para la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor el 25 de mayo de 2016. Cuando se cumplan dos años de dicha fecha, no habrá excusas para incumplir lo establecido porque se facilitó el debido tiempo para adaptarse y prepararse ante las nuevas exigencias. Las grades firmas ya llevan tiempo trabajando en la adaptación pero ¿cómo lo están haciendo las pymes? ¿Son conscientes del cambio?
«La nueva norma genera expectación y temor en algunos casos » , explica a Empresa Daniel López, socio de la firma de abogados Ecija. «En primer lugar por el importe de las cuantías establecidas en el reglamento en casos de sanción, por otro lado con respecto a la exposición de la empresa ante los clientes o asociaciones en determinados casos, o cuestiones derivadas con las posibles indemnizaciones que pueden generarse», añade. Unos miedos que se van despejando cuando la empresa se va preparando, ya que este proceso «posibilita al propio cliente un mejor conocimiento de la empresa, procesos y tratamientos realizados y, por tanto, una mejora de los mismos. 2018 sin duda es un año crucial en materia de privacidad, y el nivel de concienciación de empresas, instituciones y ciudadanos es importante», aclara Daniel López.
El socio de Ecija considera importante la evolución «de un sistema rígido en materia de seguridad, por ejemplo, a un sistema más abierto, en el que las pymes, desde el conocimiento y evaluación de su modelo de negocio y tratamientos realizados, deben adoptar un modelo de cumplimiento». Y de esta forma se genera confianza en las empresas, «empodera al cliente y aporta trazabilidad y transparencia a las operaciones con datos realizadas, aspectos que aportan mayor seguridad jurídica a todas las partes».
Novedades de la normativa
Carlos Rodríguez Horcajo, responsable de Soluciones de Gestión de la Información de SAS Iberia (multinacional líder en analítica cognitiva y visualización predictiva) recuerda que si bien en España la ley anterior de protección de datos, «era buena», ahora se produce «un mayor y más exhaustivo control de los datos». Desde las empresas, que ya hicieron un esfuerzo importante para adaptarse a la anterior legislación, «se han dado cuenta que hace falta inversión», tanto económica como de tiempo. Entre las novedades de la nueva normativa se encuentra la gestión del consentimiento de los datos, es decir, qué capacidades otorgamos a las compañías para que hagan uso de nuestros datos. «Había un consentimiento tácito por defecto y ahora es lo contrario. La empresa que quiera usar tus datos debe tener el consentimiento explícito», puntualiza. Aparecen además dos derechos nuevos: el derecho al olvido, «que proporciona la posibilidad de borrar nuestros datos» y el derecho a la portabili- dad, «pasando a ser posible, en cualquier momento, solicitar que lleven los datos de una persona a otra compañía».
Estos cambios «suponen un impacto importante para las empresas en tiempo y en dinero que varía en función del tipo de información personal que recogen, cómo los tienen ahora controlados y cuánto se quieren gastar», señala el responsable de SAS. Ante esta situación, «hay empresas que aprovechan para sacar ventajas competitivas». La GDRP afecta también en las relaciones laborales de una compañía. Jesús Mercader, director académico de Sagardoy Abo-
gados, subraya que la normativa tiene como finalidad «tutelar a los trabajadores frente al uso irregular de sus datos personales y por ello viene a establecer un importante número de garantías y sanciones por el tratamiento ilícito de los datos por las empresas». Aparece una nueva figura, la del Delegado de Protección de Datos que «tiene un papel fundamental en el cumplimiento de la GDPR, ya sea su designación obligatoria, en algunos supuestos, o voluntaria, en otros», aclara Mercader. A esta figura «se atribuyen importantes funciones, entre otras, de supervisión, información y asesoramiento a la empresa y a los empleados que se ocupen del tratamiento de datos personales de las obligaciones que les incumben».
Desde Sagardoy Abogados creen que en las pymes existe una gran preocupación pero escaso conocimiento de las importantes obligaciones y responsabilidades que se derivan del nuevo GDPR. «Las pymes necesitan conocer el riesgo que implica el tratamiento de datos personales y, consecuentemente, adoptar las medidas necesarias para mitigarlo», alerta Mercader. Recuerda que las infracciones de las obligaciones previstas en el GDPR pueden ser castigadas de forma incluso más severas que las hasta ahora establecidas por la LOPD. «Así se prevé que, en determinados supuestos, se castiguen con multas administrativas de 20 millones de euros como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior».