¿En qué te afecta la nueva normativa de protección de datos?

El Reglamento General de Protección de Datos (RGPD) afecta a cualquier empresa que utiliza datos personales de los clientes, independientemente del volumen, la actividad o la digitalización. La nueva Ley será de obligado cumplimiento a partir del próximo 25 de mayo.

Publicidad - Sigue leyendo debajo
Los datos como algo vivo

Aunque la normativa ya está en vigor, hasta el próximo 25 de mayo no expira el plazo de adecuación a la ley concedido por la Administración. Quiere esto decir que, a partir del 26 de mayo, cualquier empresa que maneje datos personales, podrá ser sancionada por no acatar la norma. En cuanto a las disposiciones, son muchas las novedades que trae la nueva Ley, con más de 75 artículos. Sin embargo, más que entrar en formalismos, como sucedía con la normativa anterior, la nueva es mucho más pragmática y se adapta a la nuevas formas de la economía, entendiendo los datos como algo vivo que evoluciona con las empresas. Alejandro Martínez Méndez, recientemente nombrado director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona de Metricson, cuenta cuáles son, a su entender, las principales novedades y cómo afectan a las organizaciones empresariales.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Datos especialmente protegidos

El reglamento amplia e intensifica la vigilancia de datos considerados especialmente sensible. Sería el caso de información relativa a creencias religiosas, salud, raza, ideología política o los datos genéticos y biométricos que reúnen muchas empresas gracias a las nuevas tecnologías. Ninguno de estos datos podrán aparecer asociados al nombre o imagen del interesado de la misma manera que, aunque aparezcan disociados, no deberán ser fácilmente identificables. Se refuerzan así las medidas para preservar el anonimato.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Sustitución del fichero por registro de actividades

Una de las novedades que introduce el nuevo texto es la eliminación de los antiguos ficheros, un concepto que desaparece para ser sustituido por el Registro de Actividades de Tratamiento. Esto obligará al responsable de los datos a llevar un registro de las actividades del tratamiento efectuado bajo su responsabilidad. Martínez Méndez lo compara con el mapa de la vida de cada dato, desde que los captamos hasta los usos que hacemos de él, los fines o las transferencias.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Del consentimiento tácito al expreso

Anteriormente, podía darse el caso de que, al realizar una acción de compra en cualquier establecimiento o ecommerce, se incluyese un texto que, además de largo tendía a ser de difícil lectura. En él se pedía al cliente el consentimiento para otros usos de sus datos. La respuesta general era aceptar todo el texto sin detenerse para concluir la operación iniciada. Es lo que se conoce como consentimiento tácito. La nueva disposición exige un consentimiento expreso para cualquier acción o uso de los datos que queden fuera de la finalidad original. Muy importante también en este aspecto, es que se prohíbe la posibilidad de que las opciones vengan premarcadas por defecto.

Por otro lado, uno de los temas de debate es qué va a pasar con aquellos clientes que ya expresaron su consentimiento tácito conforme a la anterior normativa. Aunque no hay nada definitivo, la sospecha de Alejandro Martínez es que se acabarán normalizando y adaptando progresivamente a la normativa en vigor.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Derecho a la portabilidad

Otro de los puntos que llama la atención es el derecho a la portabilidad de los datos cuando lo solicita el cliente. Servicios como la banca o los operadores móviles exigían, hasta ahora, cancelar el contrato con ellos y darte de baja en su servicio para, posteriormente, iniciar la nueva relación comercial. Ahora se recoge la portabilidad automática de los datos originales de un cliente de una compañía a otra cuando éste lo requiera. Ahora bien, conviene especificar que esta obligación hace referencia únicamente a los datos aportados por el cliente, no los que se han ido generando a lo largo de la relación comercial, que son propiedad de la empresa inicial.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Responsabilidad del DPO

La responsabilidad de mantener actualizada a diario la base de datos y el control de la misma recae sobre la nueva figura del DPO, Delegado de Protección de Datos (Data Protection Officer). Con esta nueva figura, lo que persigue el legislador es inculcar en las empresas una actitud proactiva en lo que a materia de datos se refiere y erradicar las bases obsoletas. En cuanto al perfil de la persona propicia para desempeñar estas funciones, el reglamento no especifica formación, aunque sí recomienda que tenga conocimientos jurídicos y de negocio. Tampoco es necesario asignar una persona específica dentro de la empresa para el desempeño de esta labor, ya que puede externalizarse. Igualmente, en el supuesto de que hablemos de un grupo empresarial, la misma persona podrá ejercer de DPO en todas ellas. Está pendiente de definir, asimismo, la certificación que legitimará el desempeño de estas funciones.


Con esto, la empresa se hace responsable de la información con la que trabaja y debe evitar cualquier uso indebido o pérdida de datos. Las que traten datos personales que requieran un seguimiento periódico y sistemático de los interesados a gran escala tendrán que contratar a un DPO quien deberá, también, notificar las brechas de seguridad o fugas como responsable de aplicar las medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen. Aquellas empresas pequeñas no digitalizadas podrán cumplir la normativa personalmente y de forma manual. No obstante, recuerda Martínez Méndez, que no se trata de una figura títere sino, más bien, de un cargo con cierta enjundia, al que se le presupone cierta autoridad y autonomía.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Evaluación de impacto

Es otra novedad que viene a sustituir a las antiguas auditorias anuales. Ahora de lo que se trata es de detectar posibles riesgos y aplicar medidas correctoras demostrando que tu impacto, de cara al usuario, lo tienes controlado. Una Evaluación de Impacto en la Protección de los Datos Personales, conocida como EIPD, consiste fundamentalmente en realizar un análisis de los riesgos que un determinado sistema de información, un producto o servicio puede suponer para el derecho fundamental a la protección de datos de los afectados y tras ese análisis, llevar a cabo una gestión eficaz de los riesgos que se hubieran identificado mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
La protección de datos desde el diseño

El nuevo reglamento anima a los negocios a tener en cuenta la normativa desde el momento en que empieza a concebirse el modelo de negocio al objeto de anticiparse a la aparición de conflictos.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Endurecimiento de las sanciones

La ley abre el abanico a la posibilidad de nuevas sanciones después de observar que con la normativa anterior a muchas compañías les compensaba infringir la ley y pagar la sanción si eran pillados en falta, antes que renunciar a la comercialización de los datos. La respuesta ha sido un endurecimiento de las sanciones que se siguen clasificando en leves, graves y muy graves. La novedad es que, en este último caso, además de la sanción por infringir la norma, se suma una multa que puede ir del 2 al 4% del importe total de la facturación.

Publicidad - Sigue leyendo debajo
Publicidad - Sigue leyendo debajo
Más de Gestión