Más protección para los datos de carácter personal
La nueva Ley crea la figura del delegado de Protección de Datos y establece fuertes sanciones
La aplicación de la nueva normativa de protección de datos va a suponer un reto, sobre todo para las pequeñas y medianas empresas, que van a tener que adaptar su forma de trabajo a las nuevas exigencias legales.
El escándalo generado por el uso abusivo de los datos de 50 millones de usuarios de Facebook para promocionar la campaña que llevó a Trump a la presidencia de los Estados Unidos nos ha recordado la necesidad de proteger mejor la privacidad de los usuarios en las redes sociales y en el tráfico mercantil.
Para reforzar esa defensa, la Unión Europea se dotó en 2016 de nueva normativa que será de plena aplicación a partir del próximo 25 de mayo, cuando concluye el periodo de dos años que se dio a las empresas para adaptarse al nuevo Reglamento General de Protección de Datos (RGPD).
El objetivo de esta normativa no es otro que el de proteger a los ciudadanos europeos contra un uso y tratamiento fraudulento de los datos de carácter personal. Una protección mucho más necesaria cuando desarrollos tecnológicos como el Big Data o el almacenamiento biométrico han desbordado las previsiones contenidas en la primera directiva europea, que abordó este problema en 1995, una fecha ya muy lejana para la velocidad a la que se producen los cambios en las nuevas tecnologías.
Además de una mayor protección de los datos privados, esta normativa introduce nuevos derechos para los ciudadanos como la portabilidad de sus datos o el derecho de supresión (el conocido como ‘derecho al olvido’) y obliga a las empresas a recoger un consentimiento activo y no solo tácito de quien los cede, como ocurría hasta ahora, que se autorizaba el uso de sus datos si el titular no decía lo contrario.
Una nueva figura
Una de las obligaciones que establece la nueva normativa para las empresas es la designación de un delegado de Protección de Datos. Esta nueva figura (DPO por sus siglas en inglés, Data Protection Officer) tendrá la tarea de analizar el procesamiento de datos personales de la empresa y garantizar el cumplimiento de las exigencias legales, comenzando con una evaluación de los propios riesgos, según la actividad de la empresa. En función de cuáles sean, se establecerán las medidas tecnológicas a aplicar y qué procedimientos se deben poner en marcha para hacer que todo el engranaje empresarial funcione sin dañar los derechos de trabajadores, clientes y proveedores.
El delegado de Protección de Datos podrá ser un trabajador propio o contratado externamente, lo que crea un nuevo nicho de mercado en el sector servicios.
Algunas claves de la nueva ley
El consentimiento a la cesión de datos personales no debe ser implícito, sino que debe ser una acción afirmativa, inequívoca y clara. Debe incluir las actividades de la empresa que puedan afectar a esos datos personales y la entidad autorizada debe ser capaz de demostrar que ha habido ese consentimiento.
La posibilidad de acceso a los datos personales, así como su control (rectificación y supresión) deben estar situados de forma clara y sencilla. Si se trata de niños, han de estar redactados en un lenguaje que puedan entender.
La nueva Ley también refuerza el derecho al olvido y se debe responder sin dilación a cualquier petición de supresión de datos personales, si está justificada, aunque sería suficiente con manifestar el deseo de retirar el consentimiento.
Duras sanciones
Las sanciones que establece la nueva Ley son mucho más elevadas que las recogidas en la anterior normativa de protección de datos y que podían llegar a originar que su venta masiva le saliera rentable a las empresas que decidían hacerlo, tal y como ha sucedido recientemente con Whatsapp y Facebook, que han sido sancionadas a pagar conjuntamente 600.000 euros por ceder y tratar, respectivamente, los datos contenidos en las conversaciones privadas de millones de usuarios sin su permiso.
Con la aplicación de la nueva normativa, las empresas pueden llegar a ser sancionadas con hasta diez millones de euros o un 2% de su facturación anual global, por infracciones graves, y con hasta 20 millones de euros o el 4% de su facturación anual global, por las muy graves. “Unas consecuencias muy severas en caso de incumplimiento”, que –según manifestaba el consultor legal de Conprodat Miguel Miranda, en una reciente jornada organizada por AEDIPE Cantabria–, harán que las empresas “se piensen muchísimo” el beneficio económico que pueden obtener de una infracción.