Este 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos de carácter personal de la Unión Europea. En ocasiones se lo nombra también como GDPR, sus siglas en inglés, debido a que se ha hecho famoso por las restricciones que impone a las multinacionales digitales estadounidenses en la extracción y tratamiento de datos personales de sus usuarios, la base de su negocio. No obstante, las grandes tecnológicas son solo un árbol. El Reglamento se aplicará a todo el bosque.
Las nuevas normas afectan a todas las empresas, organizaciones y fundaciones que manejen datos personales, no solo a las multinacionales del sector al digital-tecnológico. De hecho, estas últimas son las que más recursos han invertido en su adaptación: la mayoría ajustaron sus políticas de privacidad semanas antes de su entrada en vigor debido al temor a las importantes multas que contempla el Reglamento para quien se lo salte (de hasta un 4% de la facturación global de la empresa).
En este momento preocupan más las pequeñas estructuras. Pymes, ONGs y pequeñas administraciones locales que manejan datos que a partir de ahora tendrán una protección reforzada. La UE dio a todas las organizaciones dos años de moratoria para llevar a cabo esa adaptación, a contar desde 2016, cuando las instituciones comunitarias dieron luz verde al Reglamento. Ese período finaliza hoy.
Desde Facebook a una peluquería
La nueva Protección de datos no entiende de cuenta de resultados. Las pymes, desde una clínica dental, con historiales de pacientes, a una peluquería con información sobre las alergias de sus clientes, tendrán que ajustarse a él. Según las cifras preliminares que maneja la Agencia Española de Protección de Datos (AEPD), la adaptación de las pymes al Reglamento apenas supera el 50% cuando queda poco más de una semana para que entre en vigor. Las pymes representan el 99% del tejido industrial español.
Dicho Reglamento llega para actualizar una legislación que tanto en la UE (1995) como en España (1999) es muy anterior a la democratización del uso de Internet y las herramientas digitales. Aspira a dar un vuelco a la concepción de la protección de datos mayoritaria hasta ahora, poner fin a las bases de datos opacas en las que ni siquiera el usuario puede revisar los datos que una empresa almacena de él y que cualquier acción requiera un consentimiento informado.
Prevención y consentimiento
Uno de los aspectos esenciales de las nuevas normas es que se basan en la prevención por parte de las organizaciones que tratan datos. El Reglamento pone fin al modelo basado en reaccionar ante una fuga y exige actuar antes de que eso ocurra. Pide protección de datos por defecto y desde el diseño: ser transparente con el usuario los datos personales que la organización maneja y que esta información se exponga de forma sencilla y fácil de entender.
Uno de los elementos fundamentales para lograr esto será el consentimiento. Se pretende acabar con el consentimiento tácito que ha imperado hasta ahora. Cualquier recopilación de datos requerirá de un permiso “inequívoco” y “explícito” por parte de usuarios o clientes.
Datos de bajo riesgo
La AEPD explica que, en su registro de bases de datos personales de titularidad privada (con unas 4,6 millones de ellas contabilizadas), el 75% de ellas hacen referencia a tratamientos de bajo riesgo (clientes y/o proveedores; nóminas o recursos humanos), cuyos responsables son pymes en más del 90% de los casos.
Además de las obligaciones de prevención y consentimiento, las organizaciones que gestionan información personal de bajo riesgo y solo tratan con datos de un riesgo más elevado de forma puntual necesitan una serie de documentación para facilitar el cumplimiento de la normativa. Para comprobar si tu organización trata con datos y bajo riesgo y, en su caso, facilitar la adaptación al nuevo Reglamento, la AEPD tiene disponibles herramientas como esta. Con un cuestionario de unos 20 minutos puedes encontrar la documentación que necesitas y tener todo listo.
Información sensible
Las organizaciones que lleven a cabo actividades de servicios sociales, las que usen perfiles de los usuarios, así como todas las que manejen datos de carácter sanitario, ideólogico (sobre actividades políticas, sindicales o religiosas) o de solvencia patrimonial, deberán atender medidas especiales. También toda aquella empresa del sector bancario y financiero, de telecomunicaciones, de publicidad o que realice videovigilanca masiva de grandes infraestructuras.
Entre estas medidas está el realizar un análisis preliminar de riesgos (guía de la AEPD aquí) y, llegado el caso, una Evaluación de Impacto sobre la Protección de los Datos en base a factores como el tratamiento de información a gran escala, cruce de datos de varios servicios o seguimiento exhaustivo de la huella digital de las personas.
En algunos casos el Reglamento obliga a contar con un delegado de protección de datos, cuyo nombramiento debe ser comunicado a la AEPD. Este deberá tener preparación jurídica y estar especializado en esta materia. Su misión es supervisar la aplicación de las nuevas normas.
El caso de las ONG
El caso de las ONG es especial, precisamente porque el Reglamento no contempla ninguna diferencia con las empresas en la protección de datos. Deben amoldar sus sistemas a la nueva regulación igual que una compañía pesar de que cuentan con pocos recursos y un servicio gratuito por regla general.
“Otro aspecto delicado de las ONG es que suelen contar con muchos voluntarios que rotan mucho. Esto es un punto débil, ya que la norma busca que la persona que trata datos esté identificada”, explica el abogado César Martín, de Cysae. “En entornos con mucha rotación se suele relajar el acceso y al final todo el mundo tiene acceso a todo”, explica.
Martín recomienda a las ONG que busquen asesoramiento legal, ya que muchos expertos pueden estar dispuestos a hacerlo pro bono: “Al final se trata de hacer las cosas bien y de cuidar los datos personales de nuestros socios, voluntarios y beneficiarios. No hay cifras oficiales sobre el porcentaje de ONG que se han adaptado ya a la nueva normativa.
Administraciones locales
Los pequeños ayuntamientos y administraciones públicas son otras de las estructuras que deberán adaptarse a la nueva regulación pese a contar con recursos escasos. En la AEPD preocupan especialmente aquellos de menos de 20.000 habitantes, ya que las primeras cifras sobre adaptación arrojan resultados alarmantes.
Aunque tampoco hay datos oficiales, existe uno que puede servir como referencia: para las administraciones públicas es obligatorio contar con la figura del delegado de protección de datos y hay más de 20.000 organismos públicos en toda España. Pese a ello, la AEPD solo ha recibido 1.300 notificaciones de asignación de delegados, de las cuales casi 1.000 son del sector privado.
No es obligatorio que cada administración cuente con un delegado en exclusiva, ya que pueden compartirlo. En cualquier caso, las cifras que maneja la Agencia dan a entender que este sector está lejos de tener todo preparado para este 25 de mayo.