¿Está lista tu empresa para el nuevo Reglamento General de Protección de Datos?

A finales de siglo, concretamente en 1993, España fue pionera en la creación del primer organismo sancionador y de control de datos personales, la Agencia Española de Protección de Datos (AGPD). Y hasta el día de ayer 24 de mayo de 2018, la Ley Orgánica 15/1999 del 13 de diciembre de Protección de Datos de carácter personal ha estado vigente en España, dando paso al Reglamento General de Protección de Datos (RGPD) europeo, que comienza a aplicarse hoy, 25 de mayo de 2018.
7

Es precisamente en el año 1999 cuando Google (empresa registrada un año antes) estrenaba en Internet su motor de búsqueda. Escribir y ver resultados. Nada que ver con el reciente anuncio de la compañía en mayo de este año, dónde su asistente de inteligencia artificial es capaz de gestionar citas telefónicamente, tanto para una peluquería como para un restaurante, sin que los comercios detecten que se trata de un ordenador.

Ya en el año 2002, se inició la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica a través de la ley 34/2002 del 11 de julio, más conocida como Ley de Servicios de la Sociedad de Información (LSSI o LSSICE). Esta ley procuraba regular/sancionar, entre otros, el spam digital y el comercio electrónico. La ley únicamente sirve para fiscalizar a las personas físicas y jurídicas que por regla general no son delincuentes ni tratan de apoderarse de datos personales ni del ordenador personal de nadie.

Todavía en el año 2002 no existían los Smartphones tal como se conocen hoy, aunque la mayoría de los terminales móviles podían grabar vídeos con cámaras de baja resolución. Sin embargo, los medios de almacenamiento eran caros (los discos duros de los ordenadores), y resultaba complicado guardar la multitud de vídeos e imágenes que hoy día se manejan, ya que ocupaban espacios mucho mayores a pesar de su baja resolución.

No será hasta el mitad de década cuando se produce la explosión de las redes sociales a través de las archiconocidas Twitter (2006), Facebook (2006), Linkedin (2002) y el gran y exitoso cajón desastre de video difusión Youtube (2005). También en ese año ve la luz en el mercado estadounidense el primer Smartphone: el iPhone.

Durante la siguiente década se han presenciado multitud de avances tecnológicos, algunos clasificados como exitosos, y otros catastróficos, como por ejemplo la adquisición del programa de mensajería WhatsApp por parte de Facebook en 2014.

Parecía increíble que nadie en la Unión Europea hubiera alzado la voz, para cuestionar una fusión que le costaría a la red social 19.000 millones de dólares (14.000 millones de euros), y que acompañaba el anuncio de que ningún usuario de WhatsApp tendría que pagar por el uso de la plataforma. ¿Quién paga esa cantidad de dinero por algo que no explota de forma directa? ¿Qué intencionalidad había en esta fusión?

¿Qué intencionalidad había en la fusión de WhatsApp y Facebook? ¿Quién paga 14.000 millones de euros por algo que no explota de forma directa?

Para que la Comisión Europea diera el visto bueno, se le impidió a Facebook vincular ambas carteras de clientes de forma automática. La legislación comunitaria obliga a las empresas a “proporcionar información correcta que no lleve a error” y que es “esencial para que la Comisión revise las condiciones para fusiones y adquisiciones de forma efectiva. Mintieron clara y deliberadamente, con intencionalidad. Esto llevó a Bruselas a sancionar a la firma americana por importe de 110 millones de euros en mayo de 2017, castigándola por facilitar información engañosa sobre la adquisición, ocultando en dos ocasiones la posibilidad de vincular las cuentas.

Apenas unos meses después, la AGPD sanciona por un total de 600.000 euros a WhatsApp y Facebook por no ajustarse a la normativa española y europea en materia de protección de datos, lo que llevó a la aplicación máxima de la ley, 300.000 euros por infracción grave. Estas sanciones hacían referencia a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios, y a Facebook, por tratar esos datos para sus propios fines sin consentimiento.

Unas multas ‘baratas’, tanto en España, como en la Unión Europea.

Los usos de los datos

¿Pero por qué es tan importante poseer los datos personales de los ciudadanos?

La tecnología ayuda a procesar millones de datos en pocos minutos. Si además este proceso está asesorado por expertos de psicología social, entonces se pueden elaborar en pocos minutos perfiles en una base de datos gigantesca (de más de 1.500 millones de usuarios registrados). Si también puedes enviarles a todos ellos, de forma personalizada, tus anuncios, entonces puedes influir sobre ellos.

Esta es la situación del reciente caso de Facebook y Cambridge Analytica, la cual y según las denuncias de Christopher Wylie (uno de los fundadores de la firma) utilizó los datos de la red social para elaborar perfiles sobre 90 millones de usuarios estadounidenses, sin su consentimiento, para predecir e influir sobre el voto de los electores en la campaña presidencial de USA de 2016, que ganó Donald Trump.

El conocido fundador y director ejecutivo de la red social, Mark Zuckerberg, tuvo que pedir disculpas en abril por los ‘errores’ de su empresa en el congreso estadounidense. Y ya está.

Mark Zuckerberg tuvo que pedir disculpas por el reciente caso de Facebook y Cambridge Analytica. Y ya está.

Otro caso. Quizás el motivo de A.A.A. (identidad protegida) para grabar desde su domicilio durante una actuación policial en vía pública, distribuyendo posteriormente dichas imágenes a través de la red de mensajería WhatsApp era el de hacer de “periodista ciudadano”. A.A.A fue denunciado por la Policía Local del Ayuntamiento de la Font de la Figuera (Valencia) y sancionado por la AGPD.

De acuerdo con A.A.A. se trataba de “unas grabaciones que se realizaron de una agresión machista, que se venía desarrollando de forma continuada durante todo el día (…) así como algunas imágenes del policía local que se encontraba desarrollando sus competencias profesionales durante una agresión calificable de violencia de género”. Que “siempre pensó que su grabación podría ser utilizada por la víctima de la agresión posteriormente en un juicio”, y “resaltando que es erróneo que se le advirtiese de que no podía grabar imágenes, ya que visionando las grabaciones se puede observar, como tal advertencia no se produjo en ningún momento (…)”.

Después de todo, la AGPD no opinó lo mismo, resolviendo (con el número R/00778/2018) el procedimiento sancionador con el número PS/00576/2017, por infracción del artículo 6.1. de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.b) de dicha norma con 2.000 euros, que considera “infracción grave: Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

Básicamente, y en relación a la LOPD de 1999, si el denunciado no hubiera difundido las imágenes por el sistema de mensajería y únicamente las hubiera presentado en un hipotético juicio, no habría incurrido en dicha infracción grave.

Las consecuencias del nuevo Reglamento

Este 25 de mayo de 2018 el RGPD entra en vigor. ¿Qué significa esto para las personas físicas y jurídicas en España?

Las personas físicas, los ciudadanos y los consumidores tendrán los siguientes derechos para proteger sus datos personales:

  • El derecho a conocer para qué utilizan sus datos, el plazo de conservación de estos y la existencia de decisiones
  • El derecho a solicitar al responsable la suspensión del tratamiento de sus datos, la conversación de los datos y la portabilidad a otros proveedores de servicios
  • El derecho a rectificar los datos cuando sean inexactos o incompletos
  • El derecho a suprimir los datos por tratamiento ilícito, por la desaparición de la finalidad que motivó el tratamiento o recogida, cuando se revoca el consentimiento o simplemente cuando alguien se opone a que se traten
  • El derecho de oposición al tratamiento de los datos por motivos personales salvo que quien trata los datos acredite un interés legítimo y cuando el tratamiento tenga por objeto el marketing directo.

Todas las empresas y autónomos de la Unión Europea deberán recabar el consentimiento expreso de los usuarios a los cuales quieran hacer llegar publicidad.

Todas las empresas y autónomos de la Unión Europea deberán, por lo tanto, recabar el consentimiento expreso de los usuarios a los cuales quieran hacer llegar publicidad, tanto sea impersonal como personal. Es decir, si bien hasta ahora el consentimiento para poder enviarle un correo electrónico era tácito (que no se expresa o no se dice, pero se supone o se sobreentiende), ahora tendrá que ser claro, conciso y expreso.

Pero más aún, todas las empresas y autónomos de la Unión Europea deberán disponer de medios tecnológicos en su mayoría (también vale el papel) a la hora de demostrar que dicho consentimiento expreso existe, ante una posible demanda o incumplimiento del reglamento.

El incumplimiento acarreará sanciones que van “desde el 4% de la facturación anual del ejercicio anterior hasta 20 millones de euros, aquella que resulte mayor”. Es decir, que los 600.000 euros que pagó Facebook por su incumplimiento de protección de datos en España, se transformarán en mil millones de euros a partir de este 25 de mayo.

La AGPD ha puesto a disposición de las empresas y profesionales toda la información relativa a la RGPD, como una herramienta llamada Facilita RGPD, sencilla y gratuita, que informa de su adaptación al nuevo reglamento, o de si se debe realizar un análisis de riesgos.

Seguramente habrá quien, después de esperar diez años a ver sanciones emitidas por la AGPD, piense o crea que esto no lo va a pasar a él. Ahora imagine que, por no tener su empresa correctamente adaptada y preparada para el nuevo reglamento de protección de datos, le sancionan como poco con 20 millones de euros (ya que seguramente sea la cantidad mayor frente al 4% de su facturación anual del ejercicio anterior).

Así pues, solo queda saber si su empresa o proyecto empresarial está preparado o no lo está, y para ello debería responder a estas preguntas:

  • ¿Dispone la empresa de un sistema de gestión y organización de protección de datos eficiente, por ejemplo, han nombrado un delegado de protección de datos?
  • ¿Dispone la empresa de un directorio de procesos de datos y, por lo tanto, se ha registrado qué proceso de datos se lleva a cabo en su empresa?
  • ¿Dispone la empresa de los procesos corporativos necesarios para la protección de datos, en particular para la introducción de nuevos sistemas, para las evaluaciones de impacto de protección de datos y obligaciones de notificación de incumplimiento?
  • ¿Se ha implantado una política interna e instrucciones de trabajo para su plantilla y, en consecuencia, han formado y capacitado a sus trabajadores?
  • ¿Ha revisado su aviso de protección de datos y declaraciones de consentimiento, y ha establecido procesos internos efectivos para responder a las solicitudes presentadas por las partes interesadas?
  • ¿Ha introducido y aceptado contratos modelos adecuados para la protección de datos, como acuerdos de tratamiento de datos, compromisos de confidencialidad, etc.?
  • ¿Ha realizado las adaptaciones necesarias en los esquemas de protección de datos de su plantilla?
  • ¿Ustedes transmiten datos a terceros países fuera de la Unión Europea y si es así lo han regulado?

Si no se han podido contestar todas las preguntas con sí, la empresa aún no está preparada. Siempre se puede volver a buzonear.

7
Comentarios