La semana pasada el Gobierno aprobó el Real Decreto de medidas urgentes para adaptar la legislación española al Reglamento General de Protección de Datos (RGDP) de la Unión Europea, que entró en vigor el pasado 25 de mayo y que generó una avalancha de correos electrónicos para legitimar el uso de datos personales. Para los no iniciados, el pilar central que subyace bajo la nueva normativa -que conlleva sanciones de hasta 20 millones de euros o el 4% de la facturación del ejercicio anterior- es el final del consentimiento tácito, es decir, por omisión o inacción de los ciudadanos. A partir de ahora, las empresas necesitan el permiso expreso del interesado, con su correspondiente prueba en derecho.
El Ejecutivo que lidera Pedro Sánchez se ha dado prisa para tratar de cubrir el vació legal que existe en España respecto a la normativa europea de protección de datos, cuya transposición a la ley española sigue en fase de trámite parlamentario -con más de 300 enmiendas- y no verá la luz, como mínimo hasta final de año. Mientras llega la nueva ley, la ministra portavoz Isabel Celáa subraya que no habrá desprotección del ciudadano porque ya hay una primera adaptación urgente, vía Real Decreto, para adaptar el ordenamiento español a las exigencias de la UE.
"Estamos delante de un concepto totalmente nuevo y de una nueva forma de actuar; ya no vale decir que 'no sé qué es eso de la protección de datos ni para qué sirve', ya que además el asunto está muy vinculado a la normativa del 'compliance' penal y las sanciones pueden ser durísimas... Es un cambio radical de mentalidad que exige saber qué datos tengo y qué datos quiero tener, cómo están legitimados y cómo los organizo de forma fácil, transparente y clara", sintetiza Carme Laplana, gerente de Mallafré Consultors y auditora jurídica especializada en protección de datos, quien recientemente impartió una sesión 'exprés' con consejos prácticos para las empresas en la Cambra de Comerç de Reus.
Punto final al consentimiento táctico: el permiso expreso pasa a ser obligatorio
En efecto, en los días previos al pasado 25 de mayo las bandejas de entrada del 100% de los propietarios de un ordenador se convirtieron en una tortura por el bombardeo sistemático de peticiones de autorización del uso de datos personales: "El 25 de mayo nos ha servido para comprobar cuántas empresas disponen de nuestros datos... parecía que se acababa el mundo, y tampoco es eso, hay que ir mitigando los riesgos, pero tampoco hay que correr y hacerlo mal... Con las prisas, un alto porcentaje de las comunicaciones estaban mal hechas porque no conseguían una prueba en derecho del consentimiento", describe Laplana.
Interés legítimo
No existen protocolos estandarizados ni certificaciones para la creación de una base de datos bien estructurada y legitimada, por lo que generar un sistema de control sencillo y a la vez eficaz de todas las listas de distribución queda en manos de las empresas, tanto pequeñas como grandes, sin distinción de tamaños. La primera prueba del algodón para todas ellas requiere una evaluación de impacto del RGDP y de los posibles riesgos: se trata de analizar qué hay en la base de datos, qué origen tienen, y de qué pruebas de consentimiento dispone la organización en caso de recibir un requerimiento.
A partir de ese análisis llega la toma de decisiones. "Es aconsejable pedir el consentimiento expreso, pero también existe lo que se llama el interés legítimo para informar a nuestro cliente sobre un servicio, contrato, etc... El interés legítimo, que se debe utilizar con extrema cautela porque la línea es muy fina, sustituye al permiso explícito y nos sirve para no estresarnos nosotros ni estresar a los clientes con nuestras solicitudes".
Las sanciones son de vértigo: hasta 20 millones de euros o el 4% de la facturación
Una vez 'separados' aquellos clientes con los que se podría acreditar sin dificultad un interés legítimo en las comunicaciones, los expertos en protección de datos recomiendan contactar con el resto mediante una doble capa de información. La primera, más básica, con la finalidad muy bien especificada del tratamiento de datos personales y la petición del consentimiento expreso. La segunda, mucho más exhaustiva y en profundidad (cómo reclamar, a qué autoridad acudir y toda la carta de derechos) bastaría colgarla en la web para que todo interesado pueda encontrarla sin dificultad.
¿Merece la pena contratar un seguro?
"El mejor seguro que existe es cumplir", defiende Joan Maria Mallafré, socio fundador de Mallafré Consultors. "Si yo cumplo con lo que me pide el Reglamento y me lo tomo en serio, no tengo por que asegurarme; incluso si tengo un requerimiento, lo podré contestar en los términos que me permite la normativa y lo solucionaré".
Mallafré reconoce que existe cierta psicosis ante noticias de alcance mundial con compañías de la talla de Google, Facebook o Telefónica que se enfrentan a multas multimillonarias por errores y agujeros en el tratamiento de datos. A otra escala, empresas de menor tamaño en la órbita de Tarragona se sienten preocupadas porque todavía no vislumbran el alcance de un cambio todavía muy reciente: "No hay que sacar las cosas de quicio; si se informa en tiempo y forma de todo lo que ha pasado, las medidas que he tomado y se comunica a los afectados, el problema no tiene por qué terminar en sanción, si acaso en una advertencia", matiza Mallafré.
Código de buena conducta
En este contexto, sin procedimientos estándar que garanticen una correcta gestión de los datos, la principal recomendación de los especialistas es trabajar en un registro interno de tratamiento que definirá todos los procedimientos de seguridad y excelencia en el cumplimiento (contratos, copias, personal que maneja los datos, confidencialidad del personal externo...) para reducir al mínimo los escenarios de riesgo.
Existen empresas especializadas que prestan este servicio 'externalizado', aunque se debe contrastar al máximo su solvencia: "Hay una lista negra en la Agencia de Protección de Datos -advierte Carme Laplana- y debo verificar que la empresa que contrato no aparece; de lo contrario podría ser sancionado yo por irresponsabilidad".
Como toda 'revolución' que sólo acaba de comenzar, el umbral de mejora en los procesos internos es enorme. Un horizonte de mejora continua todavía en fase germinal que obligará a un esfuerzo constante para cimentar sólidamente las bases de comunicación con los clientes: "¿Cuándo se termina de implantar? No se acaba nunca, porque toda empresa siempre está en busca de clientes nuevos, y por tanto siempre van a aparecer riesgos nuevos".
Derecho al olvido
El catálogo de derechos que el Reglamento de la UE ofrece al ciudadano es amplio: acceso a los datos que guardan las empresas, rectificación, cancelación, oposición, portabilidad o limitación del uso que se hace de ellos, entre otros. Ante una petición ligada a estos derechos, la empresa ha de facilitar la información correspondiente en el plazo de un mes. También puede contestar al demandante y pedir un mes más. Habitualmente la información es gratuita, pero se puede cobrar un pequeño canon en concepto de gestión administrativa. Transcurrido este plazo, el interesado puede acudir a la Agencia española de Protección de Datos y reclamar una tutela de derechos.
Uno de los casos más debatidos es el llamado 'derecho al olvido', la oposición a que se publique una información en internet: "La información pudo tener interés público en su momento, pero el interesado, pongamos un acusado que finalmente queda sin cargos en un juicio o alguien que gana un recurso, tiene derecho a que la información no se recoja sesgada y parcialmente, por lo que se puede obligar a los buscadores a desindexar los metadatos de esa información y será muy difícil de encontrar", explican desde Mallafré Consultors.
Decálogo de consejos prácticos
De modo sintético, a continuación se enumeran aquellas cuestiones fundamentales que deberían evitar problemas en el futuro:
- Registro de tratamiento de datos: define todos los procedimientos internos de seguridad.
- Evaluación de riesgos y qué medidas correctoras se van a aplicar, con su calendario.
- Protocolo de notificación de 'brechas' de seguridad: es importante para dar una imagen de control ante la Agencia de Protección de Datos.
- Adecuar todos los formularios para legitimar la base de datos de la empresa.
- Adoptar mecanismos que favorezcan el ejercicio de los derechos en caso de requerimiento.
- Verificar a fondo los encargados del tratamiento de datos, en caso de que se trate de una empresa externa.
- Análisis de la figura del Delegado de Protección de Datos: se trata de determinar si la empresa tiene el suficiente ámbito de aplicación del RGPD para dedicar a una persona de alta cualificación sólo para este tema.
- Whatsap no es seguro. Mucho cuidado con la inclusión de personas en grupos que pueden considerarse una persona jurídica.
- Ojo con las redes sociales. Cuando se establecen redes de miles de seguidores y se aportan datos hay asuntos que no se pueden considerar personales o domésticos.
- Los envíos de newsletters publicitarios necesitan el consentimiento expreso y la prueba en derecho.