Los directivos de sociedades y organismos públicos serán los responsables del mal uso de datos
Las empresas y organismos públicos que almacenen, recojan o traten datos personales de sus clientes o ciudadanos deben empezar a cambiar de mentalidad, porque sobre sus espaldas recaerá la responsabilidad de velar por la protección y buenusodeesainformación sensible. Hacerlo mal, filtrar datos sin consentimiento o negociar con esos archivos sin permiso les puede acarrear denuncias y sanciones de hasta 20 millones de euros odeunacuantía al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. La adecuación al nuevo Reglamento General de Protección de Datos, que entró en vigor para toda la UE en mayo pasado, no es urgente, ya que su aplicación no es obligatoria para los 28 países miembros hasta mayo de 2018. Pero desde la Autoritat Catalana de Protecció de Dades (ACPD) recomiendan que cuanto antes se hagan los deberes, mejor.
Esta normativa establece entre sus novedades que no existe posibilidad de escape y afecta por igual “a toda empresa europea o extranjera que venda productos o preste servicios en Europa”, explica Maria Àngels Barbarà, directora de la ACPD. De nada les servirá a las multinacionales radicadas fuera de Europa argumentar que la matriz está en un país no comunitario: deberán atender las peticiones de sus clientes europeos para modificar o incluso anular la información que tengan de ellos (derecho al olvido).
Con el nuevo reglamento, además, “el permiso para que usen los datos debe ser un consentimiento explícito”, precisa Barbarà. Deberá aplicarse “privacidad por defecto. La empresa tendrá los datos básicos y las opciones para obtener másse tendrán que añadir una a una, de forma que el usuario diga sí o no y pueda gestionar su información”, explica la director de la ACPD. Información que tendrá que ser transparente. Según Barbarà, las empresas deberán explicar a sus clientes “qué datos suyos tratarán, si los cederán, con qué finalidad, si se realizarán usos secundarios y si es así... avisarlo”.
Las empresas deberán tener muy presente que la salvaguarda de esta privacidad es esencial, porque “las medidas de seguridad no les vendrán dadas; ya no existirán los ficheros actuales. Sí podremos orientarles desde aquí, pero la empresa deberá planificar una evaluación de riesgos previa y tomarlas medias adecuadas para los riesgos concretos del tratamiento de los datos”, subraya Barbarà.
La idea es que esta protección de información se integre en la cultura de los directivos y “que en la toma de decisiones ya tengan en cuenta cómo pueden éstas afectar a la protección” de la intimidad del cliente, analiza Barbarà. Se trata de que esta nueva tarea, “forme parte de la responsabilidad corporativa y que se entienda la custodia de la privacidad del cliente como un elemento de valor añadido empresarial”.
La directora de la Autoritat precisa queel reglamento recoge la figura del “delegado de protección de datos” –cargo obligatorio en algunos casos–, que será el experto que evaluará y asesorará a las sociedades u organismos públicos en la gestión correcta de esta información. Pero la existencia de este delegado no exime a la dirección de la empresa de su responsabilidad sobre el buen uso de este alud de conocimiento personal.
Este nuevo reglamento –ha necesitado cinco años de negociaciones– también tiene ventajas: facilita la labor a las compañías exportadoras, porque la norma es igual para los 28 países de la Unión y antes los preceptos eran distintos para cada estado miembro: “Se ha calculado que esto supone un ahorro de unos 2,3 billones de euros”, asegura Barbarà.
El reglamento es garantista con los ciudadanos –todos, incluidos empresarios o directivos, ceden datos– y obliga mucho más a empresas y organismos públicos. Algunas sociedades ya han empezado a criticar este reglamento. Telefónica, por ejemplo, considera que puede perjudicar su negocio de Big Data, de venta de datos a empresas e instituciones a través de su filial, Luca.