Un año después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), Life Abogados advierte de que muchas pymes siguen sin adaptarse a la norma, ya sea por falta de recursos o por una errónea creencia de que sólo están obligadas las compañías que tratan un volumen importante de datos, hacen publicidad o se dirigen esencialmente a consumidores; pese a que las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación anual en el caso de las grandes empresas.
Por ello, este despacho señala tres “puntos negros” para las empresas a la hora de adecuarse a la nueva regulación:
1. Dificultades para comprender y poner en práctica el nuevo modelo de gestión de la privacidad
A diferencia de la anterior regulación, el actual RGPD transfiere a las empresas el deber de velar por el cumplimiento de esta normativa, por lo que las propias organizaciones deben decidir qué medidas tomar y aplicar en función del tratamiento de datos personales que realice, y de los riesgos que pueda suponer para la privacidad, provocando confusión e inseguridad.
Life Abogados avisa de que para adaptarse al RGPD no es suficiente con cumplir un trámite o mandato, adoptando unas medidas o firmando unos documentos; sino que resulta imprescindible formarse y destinar recursos para llevar a cabo una gestión efectiva de las políticas de privacidad y un control continuado de los datos que se utilicen, de manera que la empresa pueda garantizar en todo momento que el tratamiento que de ellos se haga es conforme con el Reglamento.
El nuevo RGPD ha concedido a las empresas mayor margen de libertad a la hora de decidir cómo proteger los datos que manejan, aunque a la vez obliga a ser más diligentes y responsables (accountability). Pero esta gestión efectiva y continuada de la protección de datos no está al alcance de todas las empresas: ni en recursos económicos ni en personal que dentro de la organización tenga los conocimientos necesarios.
2. Dudas para realizar campañas comerciales, de marketing y publicidad
Muchas empresas se siguen preguntando si siempre deben contar con el consentimiento de los destinatarios o si, por el contrario, no hace falta al regular tanto el RGPD como la actual LOPD los intereses legítimos perseguidos por el responsable como base legitimadora del tratamiento, particularmente en los supuestos de mercadotecnia directa. En este contexto, Life Abogados asegura que algunas compañías siguen pidiendo, sin ser siempre necesario, el consentimiento de todos sus contactos y clientes.
La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) ha venido a determinar qué tratamientos pueden presumirse amparados en el interés legítimo, y si bien en su art. 19 regula específicamente el tratamiento de datos de contacto de las empresas, empresarios individuales y profesionales liberales, dicho tratamiento solo puede realizarse cumpliendo unos requisitos, y no justifica o ampara por si solo la realización de todo tipo de campañas comerciales.
Y es que, cuando las empresas realicen campañas y acciones comerciales por correo electrónico o medio equivalente deberán así mismo tener en cuenta la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), no sólo el RGPD, y analizar en cada caso si fueron o no solicitadas o consentidas expresamente por sus destinatarios, o si se trata de antiguos clientes o no. Aun así, Life Abogados recuerda que la aplicación del interés legítimo como base legitimadora de campañas comerciales, de marketing y publicidad no es universal; por lo que en cada caso habrá que valorar si los intereses, derechos y libertades fundamentales de los destinatarios prevalecen respecto a los de la empresa.
3. Dudas de cómo aplicar y actuar ante situaciones especificas
Evaluaciones de impacto, comunicación de violaciones de seguridad, registro y atención de nuevos derechos (portabilidad, derecho al olvido, limitación del tratamiento), qué persona dentro de su organización puede ser DPO y cómo preservar su independencia, qué sistemas son validos para recoger y demostrar el consentimiento, cuándo y cómo cifrar los datos, cómo implementar procesos de anonimización en los términos indicados por la AEPD (Agencia Española de protección de datos) entre otras.
Los datos de la AEPD recogidos por Life Abogados señalan que el 80% de las brechas de seguridad son de empresas y organizaciones privadas; el 71,5% afectan a la confidencialidad; el 26% se producen en el contexto interno de la propia empresa; y casi el 50%, en torno a datos de clientes. Por tanto, todos los empleados deberían conocer esta normativa para minimizar los posibles riesgos para la seguridad de los datos y evitar sanciones.
Según Cristina Bonal, directora del Área de Protección de Datos y Nuevas Tecnologías de Life Abogados:
Adecuar la empresa a la nueva regulación es el primer paso del camino a recorrer en aras de garantizar y poder demostrar en todo momento que el tratamiento de datos es conforme con el Reglamento. Para ello, las compañías que no puedan disponer de un delegado o responsable en protección de datos interno deberían contar con el asesoramiento y ayuda práctica de profesionales externos conocedores de esta normativa y de sus implicaciones en el día a día de toda organización, al igual que deberán velar por la formación de todos sus empleados.