Protección de Datos advierte que las exigencias europeas se aplicarán con «flexibilidad pero con rigor»

El regulador nacional recuerda que las normativas serán de obligado cumplimiento a partir del 25 de mayo, aunque se teme que las pequeñas empresas no lleguen a tiempo a actualizarse.

A cuatro meses para que el reglamento europeo de protección de datos (RGPD) sean de obligado cumplimiento, una mayoría de pequeñas y medianas empresas españolas todavía no se han adecuado a las exigencias. Desde entonces, toda infracción será investigada por parte del regulador nacional, la Agencia Española de Protección de Datos (AEPD), que recuerda que no se prolongarán los plazos, aunque asume que se operará bajo un criterio de flexibilidad.

Aunque se desconoce el número de empresas que ya se han puesto al día en esta materia, en su registro cuenta con unos 4,6 millones de ficheros privados inscritos, de los cuales el 75% de ellos son calificados como de «riesgo bajo» y cuya responsabilidad en la mayoría de los casos recae sobre las pymes. En España, el 99,8% de las empresas son pymes de hasta 248 trabajadores como máximo. Las grandes empresas nacionales, sin embargo, ya han hecho los deberes, según los cálculos de los expertos.

La amenaza de las multas
La regla establece multas de hasta un 4% sobre su facturación anual a las que no la cumplan. «No hay régimen transitorio. Todo el mundo ha tenido dos años para prepararse y, a partir de entonces, se aplican para bien y para mal las obligaciones y los derechos del Reglamento», reconoció Mar España, directora general de la agencia durante su intervención en las I Jornadas de Privacidad organizadas por la patronal tecnológica DigitalES.

En su opinión, y para calmar las dudas de los posibles afectados, la intención de la agencia «no es cargarse a todas las empresas del país», pero sí es conciente de las preocupaciones que suscitan estas exigencias en la empresa privada. Para ello, se investigarán a las empresas bajo un criterio de «flexibilidad» pero «con rigor», aunque no necesariamente todas las infracciones contemplarán cuantiosas multas económicas sino que en ocasiones se informarán bajo la modalidad de apercibimiento.

Entre las exigencias que establece el reglamento, una de las más importantes es la incorporación de un delegado de protección de datos. Una figura que debe ejercer la labor de «defensor del ciudadano» en el seno de la empresa, aunque el regulador advierte de los posibles fraudes de supuestos expertos poco cualificados que no cuentan con una certificación oficial. Por esta razón, la directora de la agencia advirtió a las empresas de que se apoyen en servicios certificados y huyan de una política de «coste cero» la hora de aplicar el reglamento.

«Carnets» a los Delegados de Protección de Datos
A día de hoy ya se ha emitido la primera autorización provisional para certificar Delegados de Protección de Datos. «Esta nueva figura tiene una serie de obligaciones como la implementación de la normativa y que puede ser un nuevo área de profesionalización», destacó Esther Montalvá, del Colegio de Abogados de Madrid. ¿Quiere decir eso que puede sugir una burbuja de consultores y pseudoexpertos que prestan sus servicios a las empresas que desean ponerse al día en materia de protección de datos pero no tienen conocimientos cualificados?

«Todo depende de qué entendemos como "no cualificadas". El RGPD habla de conocimientos especializados del Derecho, que es uno de los temas que se han comentado por su falta de definición», sostiene Sergio Carrasco, abogado experto en derecho digital en Fase Consulting. En este sentido -recuerda- el Grupo de Trabajo del artículo 29 menciona que se deberá tener en cuenta la complejidad y sensibilidad de los datos de la organización correspondiente, además del sector al que se refiera dado que también resulta necesario contar con dicho conocimiento sectorial. «Siempre entendiendo que una certificación por sí sola no implica de manera automática una mayor cualificación que otro profesional que no cuente con ella, claro está», valora. En su opinión, «es un problema complejo de evitar, dado que la normativa no obliga por recomendable que pueda entenderse a contar con dicha certificación».

Para el secretario técnico del Ministerio de Justicia, José Amérigo, «es necesario depurar esta normativa en el ámbito jurídico», pero valora que vaya a a suponer a las empresas una gran evolución sobre el tratamiento de los datos. Un escenario que define como la entrada en la «madurez de los datos», máxime a la actual situación: el 76% de los españoles se muestra preocupado por su privacidad, según datos del barómetro del CIS. Por esta razón -insistió- será fundamental que las empresas se ajusten a su normativa si quieren ser competitivas dado que su prestigio «va unido a su capacidad de ofrecer seguridad para tratar los datos de sus clientes».

Riesgos de incidentes en seguridad
Las medidas de protección de datos también están encaminadas a ofrecer facilidades a la hora de contener una incidencia de seguridad. En opinión de Francisco Pérez, Secretario General del INCIBE (Instituto Nacional de Ciberseguridad de España), la industria tecnológica tanto europea como española ha reaccionado a tiempo y, por ahora, algunas firmas han anunciado incluso la creación de oficinas internas en materia de seguridad y privacidad.

La digitalización, dicen los expertos, irá a más y, de nuevo, el intercambio de datos e información será parte fundamental para el desarrollo de nuevos servicios. De tal forma, que en un contexto global en el que la mayoría de las personas se registran en internet, sus conductas y hábitos de comportamiento suponen perfilar su identidad digital. Un escenario que, por supuesto, hay que proteger con una mentalidad abierta y aplicando un sentido común. «Hay que hacer un enfoque transversal para pensar en datos de carácter confidencial para proteger la información como contempla la normativa», sostiene.

El riesgo de incidente de seguridad cuando mas conectados estamos más posibilidades hay de subir un incidente de seguridad por l que e necesario hacer una labor pedagógica al ciudadano para disponer de los conocimientos necesarios. «Tenemos que trabajar mucho en crear una cultura digital a los ciudadanos, tanto a los niños y menores, así como las empresas, pero somos conscientes que vamos a sufrir un ataque tarde o temprano. La parte preventiva es muy importante pero el día que llegue es necesario saber repelerlo y gestionarlo», añade.

Claves del reglamento europeo

1.- Consentimiento expreso: Se establece la obligación de las empresas de obtener un consentimiento expreso, inequívoco y verificable, y no tácito de la información que se obtenga de sus clientes.

2.- Transparencia: Será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e información personal requerida al usuario o cliente y solo se podrá tratar los datos en caso que tengan un interés legítimo.

3.- Seguridad: Las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.

4.- Delegado de protección de datos: Será una figura necesaria y clave para dirimir los asuntos en materia de privacidad y seguridad de los datos personales, una decisión que requerirá de una certificación que acredite sus conocimientos. No obstante, no todas las empresas estarán obligadas a contar con un delgado debido a su tamaño. El reglamento no exige que deba ser un jurista, pero sí que cuente con ese conocimiento y podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

5.- Derechos del ciudadano: derecho a rectificación de datos inexactos o supresión de los mismos (conocido como el «derecho al olvido»), aunque con excepciones (cuando deba prevalecer el derecho a la libertad de expresión e información), limitación del tratamiento, a la portabilidad (obtener los datos que han proporcionado a una entidad en un formato estructurado, de uso común y de lectura mecánica).

6- Registro: El reglamento exige la obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.