Nuevo Reglamento de Protección de Datos (RGPD)
El pasado 25 de mayo se agotó el plazo de adaptación de las empresas hacia la nueva normativa comunitaria de Protección de Datos. Hubo un cierto nerviosismo entre las empresas para la llegada del plazo, y alguna asociación empresarial pidió la extensión del plazo para ayudar a la mayoría de empresas que aún no se habían adaptado, sin éxito.
Primero de todo aclararemos que el reglamento aporta dos principios que son fundamentales y que no sólo se han de cumplir en un momento del tiempo, sino que hay que cumplirlos todos los días y hay que insertarlos en el modo de hacer de las empresas. El primero es el principio de "responsabilidad proactiva" que básicamente es aquel que permite a la empresa hacer visible, y poder demostrar ante terceros, que su tratamiento de los datos ajenos se hace según la normativa vigente. El segundo principio básico es el de "enfoque del riesgo" que como su nombre indica, prevé que los datos de terceros hay que tratarlos diferente en función del riesgo que pueda suponer su tratamiento a los derechos y libertad de las personas.
¿Cómo actuar ante el nuevo Reglamento de Protección de Datos?
No hay que tratar todos los datos de la misma manera, hay datos que hay que proteger y hay datos que se deben sobreproteger (encriptar). En estos últimos, el reglamento añade los datos genéticos y las biométricos que pone al mismo nivel de los que dan una información bastante importante sobre la persona como para condicionar sus derechos y libertades (ideología, religión, orientación sexual, salud, afiliación sindical, etc).
A nivel de Pymes, hay que tener el consentimiento explícito para utilizar los datos con el fin acordado en la relación comercial, no disponer de estos datos para otros motivos y no comercializar con ningún tipo de información. También hay que proteger los datos sensibles, que exigen un tratamiento especial según el nuevo reglamento.
A pesar de ser conscientes de que la mayoría de empresas son muy serias con este tratamiento de datos, la normativa quiere que la empresa no se quede aquí y haga una revisión de todas las entradas de datos que habitualmente tenga la empresa y haga una gestión proactiva de su tratamiento. No basta con cumplir la normativa, debemos ser capaces de explicar cómo la cumplimos y, sobre todo, demostrar a terceros que ellos son los propietarios de estos datos y que pueden disponer de ellas en el marco del nuevo RGPD.
Esta concienciación pasa por formar a todo el personal de la empresa en el procedimiento y protocolo que la empresa sigue para cumplir esta normativa y asegurarse de que la cumplen en el desarrollo de su trabajo. También pasa por hacer evidentes las posibilidades a los terceros de modificación y uso de sus datos que tenemos nosotros almacenadas. No puede haber consentimientos tácitos (por omisión), deben ser explícitos e inequívocos. Y no puede haber procedimientos y redactados complejos, al contrario, deben ser sencillos, para poder comunicarnos.
Las formalidades del RGPD deben adaptarse a cada organización (empresarial, asociativa, ONGs...) en función de los datos que trata, dónde se almacenan y cómo se tratan. No buscan cumplir la normativa en un momento temporal sino siempre que obtenemos o utilizamos datos de terceros. La idea principal sería "no hagas con los datos de terceros lo que no quisieras que hicieran con los tuyos". Los datos son propios de cada uno y no se puede comercializar de ninguna manera sin el consentimiento explícito de cada uno.
La Ley dedica apartados a los derechos de los propietarios de los datos y hace una mención particular cuando estos propietarios son menores, a los que confiere una protección especial. La empresa debe garantizar los derechos de quienes le ceden sus datos.
No es un tema sencillo y hay que destinar recursos, pero un buen tratamiento de los datos de terceros nos hará ganar la confianza de estos y nos permitirá mejorar nuestra capacidad administrativa, haciéndola más eficiente y rentable.
Para más información o asesoramiento, puede contactar con nuestra área de asesoría jurídica al 93 872 32 22 - [email protected].