Las 58.436 empresas de Granada se enfrentan desde hoy a nuevas normas de protección de datos

Lo explica Plácido Ladrón de Guevara Hernández, socio-abogado y responsable del área de protección de datos de HispaColex Bufete Jurídico. «El objetivo final es adecuar la protección de datos a las necesidades y exigencias de la era digital, reforzando la seguridad jurídica y proporcionando mayor control a los ciudadanos sobre su información privada y sus datos personales, desde los ámbitos de su obtención, tratamiento e intercambio», argumenta.

La normativa entró en vigor en 2016 y se dieron dos años para su adaptación. ¿Han hecho los deberes las compañías granadinas en ese plazo? Ladrón de Guevara opina que en la provincia «el número de empresas que han iniciado los trámites para ajustarse a las exigencias de la nueva regulación ha crecido considerablemente en los últimos meses». Dicho de otra a manera, a la mayoría de empresas se les ha echado el tiempo encima y en las últimas semanas ha sido cuando se han 'puesto' las pilas para evitar incumplir la ley la próxima semana.

«Se trata de un requisito legal importante y que la mayoría de las grandes y medianas empresas granadinas tendrá ya implantado casi con total seguridad. Sin embargo, las pequeñas empresas, micropymes y autónomos, han demorado más su aplicación y adaptación, muchas veces por desconocimiento o por la creencia errónea de que este tipo de normativa está hecha para las grandes organizaciones, siendo esto último algo totalmente equivocado, pues el riesgo y las sanciones no van a distinguir entre pequeñas y grandes empresas», explica Plácido Ladrón de Guevara Hernández.

Manuel Peña, vicepresidente del grupo de prevención de blanqueo de capitales y cumplimiento normativo del Colegio de Abogados de Granada, añade que uno de los principales aspectos en los que no se va a diferenciar entre empresas es en la «responsabilidad proactiva», ya que todas que deberán demostrar que se está cumpliendo con la nueva normativa. «Es muy importante ir documentando todo porque si es la empresa la que sufre una brecha de seguridad a partir de ahora será esta la que tendrá que comunicarlo a la Agencia de Protección de Datos y ponerse en contacto con los interesados», desarrolla Peña, que hoy mismo dará un taller práctico -de 12.00 a 14.00 horas- en el colegio para explicar el cambio.

En el caso de Granada, el reducido tamaño de la mayoría de las empresas granadinas juega a favor de aquellas firmas que aún no se hayan adaptado al reglamento europeo y pretendan cuanto antes. El experto jurídico de HispaColex insta sobre todo a las pequeñas organizaciones a que «pueden adaptarse. Todas aquellas entidades que actualmente están cumpliendo con la Ley Orgánica de Protección de Datos (LOPD) pueden acomodarse al nuevo reglamento con mayor agilidad, modificando algunos aspectos de su documentación e implementando las nuevas obligaciones. Evidentemente, todo depende del sector en el que se mueva la empresa, así como de la sensibilidad o volumen de los datos que trate». Manuel Peña considera que a pesar de que el 25 de mayo «ya está aquí» dado que la legislación española «ha sido muy exigente, no habrá excesivos problemas para adaptarnos al reglamento europeo. El cambio para quien ya cumplía la ley le va a costar muy poco».

El Colegio de Abogados de Granada expone que la normativa europea está basada «en el riesgo» y en el tratamiento «preventivo» de las amenazas que cada empresa presuma que puede tener. «Cuando se traten datos delicados tendremos que tomar medidas muy altas para no tener una brecha de seguridad», desarrolla. Carlos Sánchez Oliver, responsable de protección de datos de Arriaga Asociados, explica que el nuevo reglamento supone «un cambio de modelo» con el que se pasa a una normativa «proactiva en la que hay que cumplir y demostrar que se cumple» estableciendo las medidas necesarias para hacer frente a la norma.

Otra de las dos de las novedades que introduce la legislación europea hacen referencia al derecho al olvido y a la portabilidad de los datos. El primero consiste en el derecho del usuario a que sus datos personales sean suprimidos y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos, lo que tendrá un reflejo práctico muy importante en el ámbito de las redes sociales o de los operadores de internet. El segundo obliga a los responsables de la recogida y tratamiento a crear formatos que permitan la portabilidad de los datos entre proveedores de servicios, sin que sean transmitidos previamente al propio interesado.

Hay más cambios relevantes. Se reduce la edad para prestar válidamente el consentimiento a los 13 años. También hay novedades respecto de la obtención del consentimiento del usuario y su acreditación, de forma que la prestación de este debe ser clara y afirmativa. Este nuevo requisito obliga a las empresas que usan los datos con fines publicitarios o de marketing a enviar comunicaciones a cada uno de sus clientes solicitando su consentimiento expreso para seguir utilizando dichos datos. «No vale decir que el consentimiento se deduce y que se tiene por escrito en una firma de cláusulas amplias y complejas. Ahora le ley te dice que el consentimiento tiene que ser inequívoco y que si vas a coger datos tienes que explicar de forma clara para qué son», argumenta Peña.

Además, la nueva regulación introduce la figura del delegado de Protección de Datos, que será el encargado de velar por el cumplimento de la normativa tanto en los organismos públicos como en las entidades privadas, pero solo para determinados supuestos, como la monitorización de datos a gran escala, creación de perfiles de consumo, o datos de especial relevancia y protección (salud, raza, religión...).

En términos globales Sánchez Oliver considera que el cambio es más «complejo» que grande y esto es lo que implica que las empresas hayan necesitado en la mayoría de los casos acudir a consultorías externas. «La mayoría de peticiones que nos han llegado han sido por eso y porque actualmente existe un 'boom' con la protección de los datos. Hay mucha sensibilidad y las empresas no quieren cometer errores», explica.

La aplicación efectiva del reglamento se produce en un momento de convulsión tras conocerse la filtración de datos de 87 millones de usuarios de Facebook. El escándalo ha incrementado la preocupación sobre la información que las compañías recaban a través de los 'me gusta' en las redes sociales y las 'cookies' en internet. De hecho, la regulación europea está pensada precisamente para proteger a las personas de los abusos de este tipo y endurece las sanciones. Las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación, si esta última cifra es mayor.