El plazo llega a su fin y el próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), norma que obliga a todas las empresas, tengan el tamaño que tengan, a obtener el consentimiento de cada usuario de sus servicios para almacenar cualquier tipo de dato.
El RGPD es la adaptación a la legislación española de la normativa europea que pretende fijar un criterio único en toda la UE para el tratamiento de los datos personales. Por primera vez, se establecen normas comunes sobre el derecho de las personas a saber cómo se están utilizando o almacenando sus datos y fija criterios sobre los casos en los que se puede exigir rectificar, suspender o borrar esos datos.
En definitiva, las principales novedades de esta nueva normativa se resumen en dos conceptos: la 'proactividad' de las empresas y el consentimiento 'inequívoco' de los usuarios.
El nuevo Reglamento refleja un cambio de modelo que requiere una responsabilidad proactiva por parte de los empresarios, de manera que éstos analicen previamente los riesgos y apliquen las medidas pertinentes para la seguridad del tratamiento de datos. Los encargados del tratamiento deberían haber ido adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación, en apenas unos días.
Consentimiento de los usuarios
En cuando al consentimiento 'inequívoco', el Reglamento establece que para poder tratar los datos de los usuarios o clientes, estos han de dar un consentimiento libre, específico, informado e inequívoco, es decir, para una finalidad concreta y mediante una declaración o una clara acción afirmativa. Nada de una declaración 'genérica' de consentimiento, sino una aceptación explícita para cada dato cedido por el usuario.
Según la Agencia Española de Protección de Datos, el consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Además, se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser
explícito: se trata del tratamiento de datos sensibles, la adopción de decisiones automatizadas y las transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
El cambio fundamental radica en que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Hasta ahora, la LOPD sólo exigía que la información se prestase de modo expreso, preciso e inequívoco.
Sanciones y dificultades
Una vez más, la aplicación del Reglamento se instalará a base de sanciones económicas. Las compañías que no cumplan los requisitos del RGPD podrán ser sancionadas con una multa que alcance hasta el 4% del volumen total de facturación -con un máximo establecido en 20 millones de euros-.
Las mayores dificultades las padece la pequeña y mediana empresa, según los últimos informes poco preparadas para el cambio. Las grandes compañías como Facebook, Amazon o Google ya cuentan con formularios para la recogida y tratamiento de datos -que ahora tendrán que adaptar a la normativa-. Sin embargo, cuando apenas faltan unos días para la entrada en vigor del Reglamento, muchas Pymes continúan con las dudas sobre cómo aplicar el RGPD. Para resolverlas, la Agencia Española de Protección de Datos ha facilitado la siguiente guía para los responsables del tratamiento de datos.