El nuevo reglamento europeo para la protección de datos

movil proteccion de datos

Isaías Blázquez
Seguir al autor

La conmemoración este domingo del Día Internacional de la Protección de Datos se produce en plena cuenta atrás para que la nueva norma europea sea de obligado cumplimiento. Prevé millonarias multas para las empresas que la incumplan y en España ya han avisado de que no habrá prórrogas en su aplicación.

El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2016, pero será a partir del 25 de mayo próximo cuando comience a aplicarse, ya que este período de dos años ha servido para que empresas y organizaciones que tratan datos personales vayan preparándose y adaptándose.

Pero una vez que llegue el día D, la norma se aplicará desde el "minuto uno", sin "régimen transitorio", ni plazos, ni prórrogas, han advertido desde la Agencia Española de Protección de Datos (AEPD), organismo que velará en España por su cumplimiento.

"Todo el mundo ha tenido dos años para prepararse. A partir del 25 de mayo, se aplicarán para bien y para mal las obligaciones y los derechos del Reglamento", afirmó esta semana la directora de la AEPD, Mar España, en un foro empresarial dedicado a la nueva norma.

"Soy consciente de la preocupación en el sector privado", añadió la directora de la AEPD, que afirmó que su intención no es cargarse las empresas del país y expresó el "espíritu de ayuda y colaboración" de su organismo.

A cuatro meses para el "día D", el experto en Derecho y Estrategia Digital Borja Adsuara cree que "la mayoría de empresas y administraciones aún no están preparadas, porque no han hecho los deberes".

"Ni siquiera la Agencia Española de Protección de Datos lo está, pues no se ha aprobado todavía la modificación de la LOPD (Ley Orgánica de Protección de Datos)", añade.

Qué cambia el reglamento

El nuevo reglamento europeo regula el tratamiento de cualquier dato personal y las empresas gestionan a diario millones de ellos: desde nombres a datos bancarios y de consumo, perfiles de cliente e información médica, considerada más sensible.

La norma introduce cambios: desde mayo, por ejemplo, el consentimiento para el uso de estos datos ha de ser inequívoco y verificable, y no tácito como hasta ahora, y las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados.

El reglamento norma incluye el derecho al olvido, que permite impedir la difusión de información personal a través de internet cuando su publicación no cumpla los requisitos previstos, y a la portabilidad, por el que se puede obtener una copia de los datos personales en formato electrónico para cederlos a otra compañía.

El RGPD prevé millonarias multas para las organizaciones que lo incumplan, que pueden alcanzar los 20 millones de euros o hasta un 4 % de su facturación anual, la cifra de mayor cuantía.

Además, las empresas tendrán que contar con un delegado de protección de datos (DPO), como el defensor del cliente o del ciudadano en esta materia, una figura con la que ya cuentan empresas como el BBVA, Huawei Technologies o Ericsson España, aunque muchas otras tienen pendiente el nombramiento.

Desde la AEPD se apuesta por esta figura, que será clave cuando se produzca una denuncia, ya que la empresa, a través de su DPO tendrá una "primera oportunidad" de resolver el problema y si el afectado estuviese satisfecho, "no tiene por qué incoarse el régimen sancionador".

Destacó que, además de las sanciones, hay procedimiento de advertencias y de apercibimiento e insistió en que, además del rigor, están "apostando por la flexibilidad".

El Reglamento también regula las posibles brechas, incidentes o violaciones de seguridad, que, en opinión de la responsable de Protección de Datos de Ericsson, Silvia Gerbolés, es "muy probable" que todos suframos alguna vez, por lo que abogó por la "prevención" y por que las medidas de protección se hagan de forma transversal en toda la organización.

Temas