Ya está aquí. El famoso GDPR, es decir, el Reglamento General de Protección de Datos de la Unión Europea será de obligado cumplimiento a partir de hoy y todas las empresas e instituciones que operan de alguna manera en el viejo continente y que atienden a sus ciudadanos tendrán que extremar las medidas y ser cuidadosos con cómo usan los datos personales de los mismos. De hecho, en las últimas semanas, los buzones de correos de cualquier empleado o usuario de servicios online se ha llenado de mensajes de proveedores buscando el consentimiento reforzado al que obliga, entre otras cosas, el reglamento.
Durante los dos últimos años, todo el sector tecnológico y una legión de expertos en datos y en asuntos legales han trabajado para movilizar a las compañías y tenerlas a punto hoy para cumplir con las nuevas exigencias que llegan de Bruselas. Sin embargo, y al decir de distintos estudios, por el momento son muchas las entidades que no se han puesto manos a la obra o que andan todavía en fase de adaptación. Grosso modo, se puede decir que las grandes empresas están preparadas, pero las medianas y sobre todo las pequeñas tienen deberes por hacer. En algunos casos, ni siquiera han empezado. Para el sector tecnológico sigue habiendo una oportunidad de negocio inmensa. IDC cifra en 150.000 millones de euros el gasto que deberán afrontar en 2018 las empresas españolas por esta razón.
IDC cifra en 150.000 millones de euros el gasto que deberán afrontar en 2018 las empresas españolas por la adaptación al GDPR
Hay expertos que dicen que el ritmo de adaptación a la legislación europea de protección de datos dependerá de si hay multas significativas y de si estas llegan pronto, algo que queda en manos de la Agencia de Protección de Datos. Y es que el GDPR endurece mucho el escenario que había hasta ahora con la LOPD. Así, las sanciones podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Esto podría significar, en el caso de las grandes multinacionales, cientos de millones de euros. Hay que recordar que la multa máxima en materia de protección de datos en España está hasta la fecha en 600.000 euros.
Las principales novedades del Reglamento
Aunque se ha hablado hasta la saciedad del tema, conviene recordar cuáles son las principales novedades que introduce GDPR, además del endurecimiento de las sanciones. Como el objetivo es devolver en la medida de lo posible a los usuarios el control de los datos personales, un punto interesante es el del consentimiento. Para que una compañía pueda incluir en bases de datos la información personal de los ciudadanos de la Unión, y manipular esta información, deberán tener un consentimiento explícito y a través de un formulario claro y sin trucos. Ya no valdrán tampoco los consentimientos generales. Se puede decir que éste es uno de los puntos en los que las compañías están trabajando a destajo.
Además, el GDPR va a obligar a la portabilidad de datos de un servicio a otro si el cliente lo pide. Para lograr esta estandarización, los proveedores de Internet tendrán que trabajar duro a nivel tecnológico. Como también tendrán que esforzarse en materia de desarrollo con el llamado principio de “privacy by design”, que establece que la privacidad que traerá por defecto cualquier nuevo producto o servicio que se lance al mercado tendrá la más estricta.
Hay expertos que dicen que el ritmo de adaptación a la legislación europea de protección de datos dependerá de si hay multas significativas y de si estas llegarán pronto
Otras de las novedades del GDPR es que da prioridad por fin al “derecho al olvido”, que facilita que la información personal se elimine a requerimiento de su titular si esta necesidad no choca con otros derechos, como el de informar. Además, con el GDPR pasarán a la historia esas brechas masivas de datos que sólo son conocidas por los afectados y por el público en general meses, o incluso años, después de que se producen. Así, el reglamento deja claro que las empresas tendrán que notificar en 72 horas cualquier problema de este tipo. Y tendrán que hacerlo a las autoridades, a los propio afectados e incluso a los medios de comunicación en algunos casos.
Por último, el GDPR obliga a todos los organismos públicos y a ciertas empresas que manejan un volumen significativo de datos personales a nombrar un delegado o DPO (Data Protection Officer), que actuará como intermediario entre las autoridades, los clientes y la propia empresa que lo contrata.
