La nueva regulación de datos personales entra en vigor con las empresas aún en plena adaptación

Mark Zuckerberg habla en una presentación en París. /Charles Platiau (Reuters)
Mark Zuckerberg habla en una presentación en París. / Charles Platiau (Reuters)

El 46% admite que aún no está preparado para un cambio que afectará a toda la UE y que en España puede costar cerca de 490 millones de euros en cuatro años

José Antonio Bravo
JOSÉ ANTONIO BRAVOMadrid

La nueva regulación sobre protección de datos personales entra este viernes en vigor en toda la Unión Europa y a muchas empresas del Viejo Continente les ha pillado con el paso aún cambiado. Y es que según distintas encuestas, casi la mitad aún no ha completado ese proceso o lo ha hecho solo de una manera parcial. Y el riesgo de que todavía estén en plena transición es que a partir de ahora puedan ser denunciados si infringen la normativa y enfrentarse a sanciones económicas de hasta 20 millones -frente a 600.000 euros en la normativa actual-, o bien el 4% de su facturación anual.

Y eso sin olvidar el coste de posibles demandas judiciales de consumidores, sobre todo por daños morales a raíz de un mal uso de su información personal. Incluso el daño reputacional puede verse incrementado porque las autoridades no están dispuestas a pasar por alto los abusos. «Engañar costará muy caro», ha advertido la comisaria europea de Justicia, Vera Jurova, quien recuerda el caso reciente de Facebook. En apenas una semana perdió a finales de marzo 70.000 millones de su valor bursátil tras la fuga de información confidencial de más de 87 millones de cuentas de usuarios suyos.

El emporio de Mark Zuckerberg, quien este jueves anunció que seguirá compartiendo datos con la aplicación Whatsapp aunque tratando de evitar «contenidos abusivos o spam» ha logrado salir del atolladero -su acción roza hoy los 187 dólares, un 19% más que entonces- pero aún tiene abiertas varias demandas colectivas. Además, ha echado el cierre la consultora Cambridge Analytica, que usó de forma ilegítima esos datos. Pero, ¿puede volver a ocurrir algo parecido? Difícil predecirlo pero, al menos, esta vez «es muy probable que se impusieran sanciones draconianas» -Facebook no fue multado por la UE, aunque en EE UU y Reino Unido sí se le investiga-, apunta Jurova.

En Europa se venía aplicando una normativa sobre datos de 1995, más laxa porque entonces no existían Google ni las redes sociales. Por eso en 2016 la UE aprobó una nueva directiva que incluía un reglamento específico. El principal cambio, apuntan desde la Agencia de Protección de Datos (AEPD), es que «se pasa de un régimen reactivo -donde las autoridades se movían a base de denuncias- a otro de responsabilidad activa y consciente».

Ya no será suficiente con el consentimiento tácito de los ciudadanos al uso de su información personal, ni ésta tampoco se limitará al nombre, dirección o datos bancarios. Tendrán la misma protección la dirección de IP desde la que un usuario se conecta a internet, el código de cliente o la localización geofísica del lugar donde se encuentre. Asimismo, solo se podrán usar los datos «mínimos» precisos para cumplir con el fin para el que se pidieron.

Autorización «explícita»

El permiso del afectado habrá de ser «inequívoco y verificable», e incluso «explícito» para tratar datos sensibles, decisiones automatizadas sobre información personal y transferencias a otros países de la misma. Por eso muchas empresas vienen dirigiéndose desde hace meses a sus clientes para recabar esas autorizaciones. Pese a ello, distintas consultoras estiman que más de la mitad en España va con retraso -sobre todo en las pymes-y no cumpliría hoy.

En concreto, solo un 12% de las compañías ha finalizado su proceso de adaptación, según el II Estudio Empresas y Ciberseguridad elaborado por varias de ellas de forma conjunta. De hecho, un 71% de las empresas afirma estar «muy preocupada» por cómo se irá aplicando la nueva regulación. No obstante, otro informe de la consultora Capgemini señala que el 54% de ellas está ya preparado «totalmente o en gran medida», mientras que casi una de cada cinco (el 19%) aún sostienen que cumplir con dicho reglamento no es una prioridad para ellas.

El asunto, en cualquier caso, no es baladí y tiene un coste económico. Según la firma tecnológica IDC las empresas tendrán que gastarse cerca de 490 millones en los cuatro próximos años (2018-2021) para cumplir las exigencias de la normativa de datos personales, con un crecimiento sostenido del 24% en el gasto en esa materia. En Europa, en cualquier caso, la problemática afecta a toda la UE. Las empresas de Reino Unido son las más diligentes en la adaptación (el 55% lo ha hecho ya), seguidas de las españolas y por delante de las alemanas y holandesas (51%), italianas (48%), francesas (41%) y suecas (32%), entre otras.

Solo en la banca habrá que revisar millones de contratos. Algo parecido pasará con los servicios básicos (luz, gas, agua o teléfono) y otros ámbitos (seguros, etcétera). Las empresas que traten más datos y el sector público deberán contar con un delegado de protección. Además, las violaciones de seguridad en sus bases deberán ser notificadas a las autoridades y los afectados en menos de 72 horas. Aunque la cuenta atrás ha finalizado, la adaptación continúa.

 

Fotos

Vídeos