El objetivo del Nuevo Reglamento Europeo de Protección de Datos RGPD (GDPR por sus siglas en inglés) es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos en un mundo cada vez más basado en ellos, y que es muy diferente al del momento en que se estableció la última directiva con fecha de 1995.

Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la normativa anterior, se han propuesto muchos cambios a las políticas regulatorias. A continuación, se exploran las responsabilidades más acuciantes que apuntala el GDPR, así como la información sobre el impacto que tendrá en las empresas y que novedades trae consigo la nueva ley.

Los cambios y novedades de un reglamento a otro son numerosos, y las consecuencias de incumplir la ley también varían, siendo mucho más duras en el nuevo escenario. Las más importantes afectan a la ubicación de la empresa, al derecho al olvido y al consentimiento.

Podría decirse que la mayor revolución en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del GDPR. Ahora la ley de protección de datos se aplica a todas las empresas que procesan datos personales de ciudadanos que residan en la Unión, independientemente de la ubicación de la empresa.

Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos en función del contexto de cada compañía. Este tema ha sido problemático en una serie de casos judiciales de alto perfil. El GPDR simplifica y aclara las cosas, pues también se aplicará al procesamiento de datos de personas en la UE que estén en manos de un controlador establecido fuera de la Unión.

El GDPR es meridiano en este aspecto: mientras la compañía procese o almacene datos personales de residentes en la UE, está obligada a cumplir las reglas, sin importar dónde se encuentren su sede o sus servidores. Esto supone un cambio trascendental para grandes multinacionales del sector tecnológico como Facebook o Amazon, que ahora pasan a estar regidos por la norma comunitaria por más que sean extranjeras.

El llamado “derecho al olvido” confiere potestad al ciudadano para obligar a la entidad que posee sus datos a borrarlos de sus archivos y cesar su difusión. En las condiciones para el borrado, tal y como se describen en el artículo 17, figuran circunstancias tales como que los datos ya no sean relevantes para los propósitos originales que motivaron su procesamiento, o que los dueños de los datos, sencillamente, retiren el consentimiento.

También se debe tener en cuenta que este derecho exige que los controladores comparen los derechos de los ciudadanos al interés público en la disponibilidad de los datos una vez se evalúen dichas solicitudes.

Otra novedad de esta ley es que las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones indescifrables repletos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso. El propósito es que sea tan simple y rápido retirar el consentimiento como darlo.

En lo que respecta a las pequeñas y medianas empresas, de acuerdo con los datos arrojados por una encuesta llevada a cabo por el antivirus Sophos, las pymes no están suficientemente alerta de los cambios que vienen.

Según este sondeo, el 80% de las compañías de Reino Unido, Francia, y el BENELUX declara ignorar las consecuencias del GDPR.

En el conjunto de Europa la cifra se reduce, pero no mucho: hasta un 55% de las compañías afirma no tener claras cuáles pueden ser las cuantías de las multas en caso de incuplir con la normativa.

El escenario es preocupante, ya que una de las grandes características del nuevo reglamento con respecto al anterior se refiere a la suma de las sanciones, de mayor calado.

A partir del 25 de mayo, las multas podrán alcanzar los 20 millones de euros o el 4% de la facturación global del negocio, lejos de los 600.000 que hasta el momento suponen el máximo pagado por una empresa española como consecuencia de un incumplimiento de la (de momento vigente, pero en pocos meses obsoleta) LOPD.

Por ello, se hace esencial que las pymes tengan claras cuáles son sus nuevas obligaciones a falta de sólo unos meses para que la GDPR entre en vigor.

Algunas de las medidas más apremiantes que los empresarios deben cumplir rigurosamente, ya que difieren de la ley actual, son las siguientes:

• Registro de las actividades. Las personas jurídicas y los encargados de tratamiento que gestionen datos de carácter privado habrán de llevar de forma inexcusable un registro de las actividades que realicen con esos datos.
• Portabilidad de los datos. Las empresas estarán obligadas a la portabilidad de los datos de un servicio a otro si el cliente así lo demanda. Como consecuencia, los ciudadanos podrán retirar sus datos al cancelar una suscripción o llevarlos a otra compañía si se cambian de proveedor.
• Evaluaciones de impacto. Será obligatoria la puesta en marcha de evaluaciones de impacto antes de ejecutar gestiones que puedan conllevar un alto riesgo para los derechos y libertades de las personas físicas. La medida que se prevé para su vigilancia es una consulta previa a la Autoridad de control, que es el organismo al que el país en cuestión deberá acogerse para controlar, reglamentar e inspeccionar la gestión de datos de tipo personal. Esto incluye, sin ir más lejos, el control de impacto de aquellos datos manejados por las empresas que pongan de manifiesto cuestiones ideológicas o datos referentes a la salud o la sexualidad de una persona.
• Delegado de Protección de Datos. Es imperativo que las empresas nombren un Delegado de Protección de Datos si en su actividad concurren determinadas circunstancias como, por ejemplo, que la gestión sea efectuada por una autoridad o un organismo público (salvo en el caso de los Tribunales que lo hagan en el marco de su labor judicial). También estarán sujetas a ello aquellas pymes cuya función principal consista en la gestión a gran escala de datos de categorías especialmente sensibles como las que atañen a la etnia o religión de una persona. De esta manera, el Delegado de Protección de Datos será, salvando las distancias, como un policía de asuntos internos cuya función pasa por supervisar que todo lo que se haga en la empresa a ese respecto se ciña a la GDPR.

En resumen, las pymes deben darse cuenta de que, a falta de sólo cinco meses para que el Nuevo Reglamento Europeo de Protección de Datos sea efectivo, muchas de ellas no están preparadas para someterse a las transformaciones necesarias para cumplirla.

El mundo de los negocios está cada vez más informatizado, lo que hace del tráfico de datos algo tan imprescindible como delicado. El desafío es estar a la altura cuando la nueva norma entre en vigor.