Las 66.000 empresas de la región deben mejorar la protección de datos Jesús Portero, de tuidentidad.net, ante una máquina de destrucción de documentos. / J. V. Arnelas El próximo día 25 entrará en vigor la aplicación del nuevo reglamento europeo que restringe el uso de la información de carácter personal JUAN SORIANO Domingo, 13 mayo 2018, 08:56

La filtración masiva de datos de usuarios de Facebook ha puesto de manifiesto la necesidad de reforzar las normas sobre utilización de información de carácter personal. Con ese fin la Unión Europea aprobó en 2016 un nuevo reglamento comunitario que será de plena aplicación a partir del próximo 25 de mayo. Pero no sólo afectará a grandes compañías como la citada, sino que las 66.000 empresas de la región y los organismos públicos deberán adaptarse a la nueva normativa. Un reto para el que se dio una moratoria de dos años y que parece imposible de lograr a diez días de su entrada en vigor definitiva.

El Reglamento general de protección de datos refuerza el derecho de los ciudadanos europeos a mantener el control sobre su información personal. Para ello, introduce cuestiones como la necesidad de firmar un consentimiento expreso a la utilización de esos datos. Ya no bastará con las cláusulas genéricas.

Jesús Portero se dedica a este sector a través de su empresa tuidentidad.net. Según explica, cualquier organización que trate datos de carácter personal está obligada a cumplir el nuevo reglamento. Eso abarca a empresas, instituciones públicas, asociaciones, autónomos…

No se trata sólo se proteger la información sobre clientes, sino que también incluye lo relativo a trabajadores, imágenes que se graban con circuitos de videovigilancia, registros de proveedores, etc. Eso hace que, como destaca Portero, prácticamente todas las actividades económicas estén sujetas a la nueva normativa. Así lo indica también Ramón Zambrano, de ZM Consultores. «Es complicado que haya empresas que no deban cumplir el reglamento», apunta.

En Extremadura existen 65.844 empresas, según los últimos datos del Instituto Nacional de Estadística, referidos al cierre de 2017. De ellas, más de la mitad, 35.633, no tienen asalariados, por lo que se trata de profesionales autónomos. Aunque pueda parecer lo contrario, lo más probable es que también tengan que cumplir con la nueva norma. El resto, más de 30.000, están obligadas a revisar sus protocolos sobre seguridad para garantizar la confidencialidad de la información que manejan. Desde las 19.435 que tienen de uno a dos trabajadores a las dos que cuentan con más de mil.

Las novedades Consentimiento Se debe informar de manera muy clara de la finalidad para la que se solicitan los datos y recabar el consentimiento expreso de la persona. 20 millones de euros O, si es mayor, el 4% de la facturación es el importe al que se elevan las multas por infracciones muy graves. Portabilidad y olvido Una compañía debe facilitar a sus competidoras los datos en formato accesible. El olvido implica la eliminación de la información una vez termina la finalidad para la que se recaba. 72 horas Es el tiempo máximo que se concede para comunicar a la Agencia Española de Protección de Datos cualquier incidente que haya podido suponer una fuga de información personal.

Portero reconoce que «hay un interés creciente» desde principios de año por cumplir con el nuevo reglamento ante su entrada en vigor el 25 de mayo. Sin embargo, afirma que «hay un alto porcentaje de empresas que aún no están adaptadas», la mayoría por desconocimiento de la norma. En una situación similar se encuentran los organismos públicos de la región.

«Ni Extremadura ni nadie», recalca Ramón Zambrano. En su opinión, «la pyme y la micropyme no están preparadas» para cumplir con la nueva norma. Más fácil lo tendrán las grandes empresas que ya estaban adaptadas a la Ley orgánica de protección de datos (LOPD), del año 1999, así como a su modificación de 2007. Pero destaca que el reglamento europeo convierte en obligatorias cuestiones que estaban «algo dormidas» en la legislación nacional.

Como explica Portero, tomar las medidas necesarias para adoptar las normas protección de datos puede no ser sencillo, por lo que recomienda contar con personal cualificado. En cuanto a los costes, estima que pueden oscilar entre 200 y 300 euros para un autónomo a alrededor de 2.000 euros para grandes empresas. Pero depende del tipo de actividad. Recalca que no maneja los mismos datos un estudio de ingeniería que una clínica dental, que debe cumplir las exigencias añadidas que tiene el sector sanitario.

El responsable de tuidentidad.net señala que se necesitan protocolos de actuación, modelos de información al ciudadano… Cuestiones que requieren tiempo y que ya no se podrían lograr a diez días de aplicación plena del reglamento europeo.

Esta norma endurece además las sanciones a imponer en caso de incumplimiento. Cada país deberá adaptarse a la legislación comunitaria, una cuestión que en España ya está en marcha con la modificación de la Ley orgánica de protección de datos (LOPD). Pero las multas podrán llegar a 20 millones de euros o el 4% del volumen de negocio de la empresa.

Delegado de protección

Estas sanciones máximas están pensadas para las grandes compañías que, como Facebook, operan con datos de miles de europeos. Para reforzar la seguridad de su actividad, este tipo de empresas estarán obligadas a contar con un representante al que se puedan dirigir las reclamaciones que se presenten.

Pero hay cuestiones que afectan a empresas más modestas, como la obligación de contar con un delegado de protección de datos. Como explica Portero, es obligatorio para organismos públicos y compañías que tengan más de 250 trabajadores. Pero recalca que la nueva LOPD incluirá un listado de actividades que deberán disponer de esta figura, sea cual sea el tamaño de la entidad. La clave, como indica Zambrano, es qué se considera por utilización a gran escala de datos, como establece el reglamento comunitario. Una farmacia, por pequeña que sea, puede tener cientos de clientes.

El delegado de protección de datos será el encargado de velar por el cumplimiento de las normas sobre la materia y de relacionarse con los organismos de control. Debe ser independiente y tendrá responsabilidad plena. Se trata por tanto de una de las claves del nuevo reglamento. Por el momento, no es obligatorio que tengan una formación específica ni una acreditación especial. Pero con el tiempo deberán contar con una habilitación adecuada.

La Agencia Española de Protección de Datos ha puesto en marcha en su sede electrónica un procedimiento para que las administraciones públicas y las entidades privadas obligadas a designar un delegado de protección de datos puedan comunicar este nombramiento, lo que deberán realizar antes del 25 de mayo.

Ramón Zambrano apunta que, por su regulación, lo más probable es que la figura del delegado termine siendo un consultor externo. De ahí la necesidad de que cuenten con la necesaria acreditación.

Para el responsable de ZM Consultores el nuevo reglamento europeo implica que sea necesario tomar en serio la protección de datos. En su opinión, al igual que un autónomo o una empresa cuenta con una asesoría para cuestiones fiscales, contables, laborales o de prevención de riesgos, a partir de ahora deberán incluir en ese abanico todo lo relacionado con el tratamiento de información de carácter personal.