En España, según el ministerio de Economía, el sector de la pequeña y mediana empresa constituye el 99% del tejido empresarial. Las pymes gestionan a diario datos de sus clientes, hasta ahora regidos por la Ley Orgánica de Protección de Datos (LOPD). A partir del próximo 25 de mayo de 2018, la situación cambiará con la entrada en vigor de la normativa europea denominada General Data Proyection Regulation (GDPR).
El aviso llegó hace dos años, pero a las empresas del sector les ha pillado sin los deberes hechos. Unos por desconocimiento, otros por falta de estructura, de tiempo, de recursos… La cuestión es que las grandes empresas, en su mayoría, ya lo tienen todo hecho, mientras las pymes van a llegar a mayo con las sanciones pisándoles los talones. Muchos no son conscientes si quiera de las multas a las que se enfrentan, de hasta 4 millones de euros o un 4% de la facturación. Incluso si una empresa está dando pérdidas puede tener que asumir una multa millonaria.
LAS PYMES TENDRÁN QUE ADAPTARSE A LA NUEVA LEY
Qué obligaciones exige la GDPR
La GDPR se enmarca en torno a cuatro puntos que las empresas deben tener en consideración a la hora de gestionar el día a día de los datos de sus clientes, sus empleados o sus proveedores.
Todos ellos deberán cumplirse antes de que el Reglamento General de Protección de Datos entre en vigor el próximo 25 de mayo.
El principio de responsabilidad proactiva y la ampliación de los aspectos sobre los que hay que informar, serán los dos primeros puntos principales a seguir
La responsabilidad proactiva, incluido en la nueva regulación, exige a la empresa que gestione continuamente todos los datos. Ya no sirve la simple acción de guardar documentos de seguridad para tener constancia de esos datos por si acaso se presenta una inspección, ahora habrá que enfrentarse a una mayor complejidad.
La empresa deberá estar atenta a su base de datos y conocer al detalle quién la gestiona y de qué manera. Debe garantizar el tratamiento de los datos.
Si modifica el programa informático o cambia de proveedor para gestionarlos, deberá indicar los procesos adecuados para tratar los datos con garantías. La GDPR pide llevar un seguimiento diario, no sirve con adaptarla un día únicamente. Si se cambia un proceso, hay que ver cómo afecta a la protección de datos. Por ello, se ha creado el denominado “Registro de actividades de tratamiento”, un instrumento imprescindible en el que se indica todo lo que se hace con cada grupo de datos de la empresa de forma periódica.
Por otro lado, la ampliación de los aspectos sobre los que hay que informar son la cláusula donde se debe aceptar al descargar e instalar un programa o aplicación en ordenador o smartphone. En ella se advierte de la utilización de los datos del usuario para unos fines determinados. Ahora se debe completar mucho más esta cláusula, informando sobre a quién se van a ceder los datos, si se van a transferir éstos internacionalmente, qué derechos tiene la persona poseedora de los datos, cuánto tiempo serán tratados y varios aspectos más de los que hasta ahora no era necesario hacer conocedor al usuario.
El consentimiento y el análisis de riesgos también son puntos fundamentales
Las restricciones para tratar los datos de la persona con su consentimiento serán más altas. De esta manera se entiende que el consentimiento para tratar esos datos debe ser específico, inequívoco, libre e informado, y siempre en sentido afirmativo. Esto se hace para evitar que se traten los datos con un consentimiento sobreentendido. Hasta ahora, cuando descargábamos una app, podíamos encontrarnos con cláusulas que daban plazos de un mes aproximadamente para aceptar o no la transmisión de datos, informando de que éstos se ceden a empresas de terceros.
Ahora será necesario para cada tratamiento de datos dar respuesta con “Sí” o “No”. Si antes se daba consentimiento para casi todas las condiciones de una sola vez y el usuario no leía o no era consciente de lo que se iba a hacer con sus datos, ahora y a partir del 25 de mayo, será necesario ir validando por bloques lo que se va a hacer con nuestros datos, paso a paso. Antes se aceptada todo de una vez o se denegaba todo, ahora va por partes.
Además, los análisis de riesgos es la cuestión más espinosa porque la GDPR deja lugar a interpretaciones. Hasta el momento, la normativa indicaba qué tipo de medidas había que implementar según cada dato a tratar. Se entiende, o nos intenta decir, que cada empresa es “mayorcita” para analizar los riesgos y dar lugar a las políticas oportunas en cada caso. Al final, llegado el momento de la inspección, será el personal acordado para ella quien valore las medidas tomadas por las empresas.
En Maser Legal ofrecemos soluciones conforme a la seguridad y protección de datos para todos los casos, ya sean entidades públicas o privadas, autónomos, comunidades de vecinos o personas individuales.