Por si alguien lo dudaba, ya ha quedado claro que el dato, hoy más que nunca, es negocio. El escándalo de Facebook y Cambridge Analytica era sólo la «gota que ha colmado el vaso», en palabras de David Ferré, ingeniero tarraconense técnico en telecomunicaciones y experto en domótica.
Casualmente, estamos únicamente a diez días para que entre en vigor el nuevo reglamento europeo de protección de datos, de obligado cumplimiento a partir del 25 de mayo. Esta norma obliga a las empresas –y también a la administración– a autoexigirse un protocolo de actuación en la gestión de los datos, tanto los de sus propios trabajadores como los que manejen de terceros.
Pese a que las empresas han contado con dos años para prepararse, –la norma es de aplicación en toda la UE y entró en vigor en 2016, pero se dieron dos años para la adaptación–, muchas firmas arrastran importantes demoras.
Pimec ha pedido una moratoria ante la imposibilidad de que la totalidad de empresas lleguen a tiempo para adaptarseDe hecho, son días de prisas y temores ante la posibilidad de no llegar a tiempo y exponerse a una dura sanción. La patronal catalana de la pequeña y mediana empresa Pimec ha pedido al Ministerio de justicia una moratoria, puesto que calcula que el 75% de estos todavía no han adoptado las medidas necesarias.
En España más de un 60% de las pymes afirman que están preocupadas por las sanciones que puedan recibir por sus incumplimientos. Sin embargo, más de la mitad reconocen que no están familiarizadas con el reglamento. Además, más de un tercio de estas compañías reconoce que no estará listo a tiempo y otro 22% afirma no tener los recursos necesarios para amoldarse.
De las clínicas al marketing
Puesto que el reglamento afecta a todo aquel que posea datos personales (nombres, teléfonos, direcciones, cuentas corrientes, nóminas, historiales médicos, documentos jurídicos), su cumplimento incluye a las casi 25.000 empresas de Tarragona, según la actualización de marzo del directorio de la Seguridad Social.
A las compañías se añaden también una multitud de organismos e instituciones. A algunas les toca más de cerca, como son las firmas de publicidad y marketing, las aseguradoras, las clínicas o las agencias de viaje, habituadas a trabajar con datos personales, pero todas ellas deben cumplir.
Usted lo habrá notado en las últimas semanas en su bandeja de entrada, ya sea personal o profesional: le llegan decenas de mails avisando del nuevo reglamento y pidiéndole autorización para enviarle comunicados o reclamar sus datos para un fin concreto.
La aplicación efectiva del Reglamento General de Protección de Datos (RGPD) se produce en un momento de convulsión tras conocerse la filtración de datos de Facebook de 87 millones de usuarios. El escándalo ha incrementado la preocupación sobre la información que las compañías recaban sobre los usuarios a través de los ‘me gusta’ en las redes sociales y las ‘cookies’ que monitorizan la navegación en internet.
De hecho, la regulación europea está pensada precisamente para proteger a las personas de los abusos de este tipo y el fuerte endurecimiento de las sanciones que contempla tiene como diana a gigantes tecnológicos como Facebook, Google o Amazon.
Ahora las multas pueden llegar a 20 millones o el 4% de la facturación, si esta última cifra es mayor. Se trata, pues, de sanciones bastante disuasorias y tildadas de duras por algunos de los expertos en privacidad de datos en la red.
Jordi Castellà, director del Departament d’Enginyeria Informàtica i Matemàtiques de la URV, valora positivamente la nueva etapa que se abrirá: «Era importante que se aplicara una regulación de este tipo, porque ahora vivimos en un mundo hiperconectado, donde todo genera datos. A veces son datos inofensivos y otras veces no tanto. Es decir, ahora, a través de un enchufe podemos saber cuándo enciendes la luz o cuándo conectas un determinado electrodoméstico en casa».
Castellà ve conveniente acotar y limitar: «De alguna forma se restringe más la información y el ciudadano será el beneficiado, porque estará más protegido».
Un ejemplo: si un mecánico recaba los datos personales de un cliente para hacerle una revisión al coche, no tiene nada que temer. Está legitimado a ello por el servicio que va a prestar. Otra cuestión es que el taller luego conserve esos datos y los utilice para mandar publicidad de nuevos servicios y ofertas. Entonces es cuando entra la nueva normativa. Se debe recabar el consentimiento expreso del cliente para ese otro fin.
Empresas más afectadas
¿Es necesario contratar a una firma especializada para adaptarse? La respuesta no es única. La mayor parte de la empresas pequeñas seguramente puedan arreglarse con el manual de la agencia Española de Protección de Datos, pero cada caso es diferente. A partir de los 20 trabajadores es difícil que se apañen solas.
La lista de las empresas más afectadas es inabarcable. La encabezan las de marketing y comercio electrónico, que tendrán que cuidar las bases de datos que utilizan, pero destacan también las aseguradoras, los bancos, las gestorías, los bufetes de abogados o los instaladores de alarmas. Especial cuidado deben tener aquellas marcas que trabajen con cuestiones de la salud.
Las firmas vinculadas al marketing, al comercio electrónico o a la salud serán las que más esmero tendrán que poner para amoldarse al cambio y evitar multas«Lo de Facebook sólo es la punta del iceberg. Pero aquí hablamos de una afectación en cuestiones como datos hospitalarios o bancarios, o de las aseguradoras que utilizan datos para asegurar o no a una persona, rompiendo esa base que es precisamente la imprevisibilidad», sostiene el ingeniero informático David Ferré.
En su opinión, el balance también es bueno: «Las nuevas generaciones son más maduras y exigentes. Por lo tanto, creo que lo más importante ahora será enseñar al pueblo cómo denunciar y cómo hacer cumplir. Si se denuncian todos los casos de incumplimiento, eso hará que al final tengamos un entorno digital mucho más sano».
Ferré habla de «multas e indemnizaciones grandiosas» y culmina: «Si el pueblo se mueve, los que piensan que no pasa nada y que es una nueva ley tonta que sólo afecta a grandes empresas verán que se equivocan y tendrán que hacer bien las cosas». A esa conciencia de la importancia de la privacidad deberá contribuir también la nueva reglamentación.