¿Están aplicando las empresas correctamente la protección de datos?

El 25 de mayo de 2018 fue una fecha fatídica para muchos administradores de bases de datos. La aplicación obligatoria del Reglamento General de Protección de Datos (RGPD) sorprendió desprevenidas a muchas pequeñas y medianas empresas, así como a trabajadores autónomos, a pesar de que se trataba de una norma aprobada en abril de 2016. Aún hoy, muchos meses después, continúan existiendo dudas sobre su contenido y no está claro si las empresas están aplicando correctamente la protección de datos.

Índice de contenidos

¿Qué es la nueva ley de protección de datos o RGPD?

El Reglamento General de Protección de Datos (RGPD) es un reglamento que endurece las medidas que deben tomar las empresas para salvaguardar los datos personales de sus clientes. Incluye duras multas para las compañías que no hagan todo lo necesario para evitar la libre circulación de información personal.

La ley protege todo tipo de datos, desde información sensible hasta el nombre propio. Tanto es así, que incluso en los centros médicos se ha pasado a llamar a los pacientes a la sala de espera con un código aleatorio.

La RGPD ha tenido una especial incidencia en el mundo comercial y en el sector del marketing, donde las empresas han tenido que atravesar un periodo de adaptación para conseguir mantener una relación directa y personalizada con sus clientes. En este caso, la clave es siempre la solicitud del consentimiento tácito y limitar claramente para qué va a ser utilizada esa información (promociones, analítica, bases de datos, etc.).

Politica privacidad

¿Qué obligaciones tienen las empresas?

El nuevo reglamento ha obligado a las empresas a realizar un trabajo en una doble dirección: por un lado, es necesario obtener el consentimiento tácito e informar al consumidor; y, por otro, deben asegurar la protección de la información que le ha sido proporcionada, con las medidas de seguridad necesarias para que no se produzcan fugas de datos.

Con respecto al usuario, se deben fomentar medidas como las siguientes:

  • Solicitud de permiso e información clara sobre el uso de los datos, como hemos mencionado. En este caso, hay que tener en cuenta que solo se recabará la información necesaria para el proceso en cuestión.
  • Libre acceso de rectificación y anulación para el usuario. Debe saber en todo momento dónde están sus datos y poder modificarlos o borrarlos.
  • El usuario puede exigir, además, información como los plazos de conservación de sus datos, la identidad del responsable de gestionarlos y la finalidad para la que han sido recogidos.

La empresa, por su parte, debe asegurar que aplica algunos procesos, como:

  • El nombramiento de un responsable para la protección de datos.
  • Actualización de dispositivos y ordenadores, que deben estar provistos de las máximas medidas de seguridad (antivirus, cortafuegos, etc.).
  • Sistemas de cifrados de datos cuando se necesita compartir información con otra empresa o institución.
  • En el caso de que se produzca la violación de datos de carácter personal, deberá ser notificado a la Agencia Española de Protección de Datos en un plazo de 72 horas.

Proteccion datos

Los principales fallos de las PYMES en la ley de protección de datos

El desconocimiento inicial hizo que muchas compañías perdieran gran parte de sus bases de datos por la incapacidad de aplicar correctamente la nueva norma. Pocos optaron por contratar a un legalista especializado que les ayudara a hacer el tránsito. Las tarifas de estos profesionales, además, resultaban prohibitivas para muchas pequeñas empresas.

Hoy, meses después de que la RGPD entrara en vigor, continúan dándose ciertas irregularidades, entre las que están las siguientes: 

  • Falta de actualización de los textos legales en ecommerce y páginas web (sobre todo mantener activada la casilla de consentimiento en los formularios de contacto). También en la firma de muchos mails.
  • Grupos de mailing o WhatsApp masivos. Si no ha habido consentimiento explícito previo, esto es ilegal.
  • Brechas de seguridad en ordenadores y servidores en los que se almacenan los datos. Hay que comunicarlo a la AEPD en 72 horas. En los primeros 7 meses, hubo un total de 625 notificaciones de violaciones de seguridad de los datos personales. 
  • No contar con un delegado de protección de datos.
  • No disponer de un protocolo de actuación y un plan de prevención de riesgos.

La mayoría de expertos en la materia coinciden en que la RGPD contiene algunos puntos ambiguos, que son de difícil aplicación. Por ello, muchos empresarios se exponen a las sanciones que recoge la norma antes que variar de forma notable su método de trabajo por las complicaciones que requiere.