Quedan muy pocas semanas para la entrada en vigor definitiva de la legislación europea en materia de protección de datos (GDPR, por sus siglas en inglés). Como se ha venido contando a menudo en los últimos meses, a partir del 25 mayo será de obligado cumplimiento el reglamento europeo que regula el trasiego de datos personales en empresas e instituciones públicas y que reemplazará a la actual LOPD.
Hay que recordar que este cambio legislativo supone un endurecimiento de las multas para las empresas que no cumplan (hasta 20 millones de euros o el 4% de la facturación global). Asimismo, las empresas tendrán que contar con un consentimiento claro y reforzado por parte de los usuarios si quieren acceder a su información personal. También deberán comunicar en un plazo muy breve (72 horas como máximo) cualquier brecha de información, garantizar el derecho al olvido o facilitar la portabilidad de los datos de un servicio a otro si el cliente lo pide, entre otras cosas.
Para este reportaje, hemos hablado con tres empresas que en los últimos meses se han puesto al día en materia de protección de datos y han abordado la obligada transición al GDPR. Se trata del despacho de abogados Écija, uno de los grandes especialistas en España en propiedad intelectual y derecho de tecnologías de la información; de Weblogs, el principal grupo de medios digitales especializados en español; y de Parental Click, firma que comercializa una app de control parental destinada al teléfono móvil de jóvenes que pueden sufrir situaciones de acoso y bullying.
Las grandes empresas van por delante
En los últimos meses, se han oído muchas voces de alarma advirtiendo de que en España numerosas compañías no van a estar preparadas el 25 de mayo para cumplir con las exigencias del GDPR. Es decir, que, según los agoreros, muchos no llegarán a tiempo y quedarán fuera de la ley. Jesús Yáñez, socio de Écija, cree que no se puede generalizar en este punto y que «hay de todo». «Las grandes empresas llegarán a tiempo, y muchas medianas también. Pero la gran mayoría de las pequeñas no están adaptadas y tardarán en hacerlo, al igual que ocurrió en su día con la adaptación a la LOPD», explica Yáñez.
El experto de Écija matiza cuando toca hablar del cambio en las grandes corporaciones y firmas de cierta entidad: «La adaptación jurídico-organizativa ya está realizada en las empresas grandes y medianas, es decir, los procedimientos, las cláusulas, los contratos o las evaluaciones de impacto en la privacidad. Sin embargo, desde el punto de vista técnico y de medidas de seguridad, todavía quedan muchas acciones que acometer».
Julio Alonso, fundador y director general de Weblogs, reconoce que quizá la empresa española ande rezagada en comparación con la europea, aunque asegura que «estos días, hables con quien hables, todo el mundo está con su implementación de GDPR». En la misma línea se manifiesta Pedro Valle, creador de Parental Click, quien considera que la normativa de protección de datos es un asunto «que ha recibido la atención de todos». Para Valle, proteger los datos de los usuarios empieza a ser sinónimo de «responsabilidad, credibilidad y profesionalidad».
Más allá de valoraciones generales, preguntamos a los tres protagonistas de estas historia cómo va la adaptación de sus propias empresas al reglamento europeo. Alonso reconoce que, aunque lleva meses trabajando con sus asesores legales, no le van a sobrar días. Sin embargo, cree que Weblogs llegará al 25 de mayo «con todo listo».
En Écija, la transición está terminada. Ahora esperan las novedades legislativas que pueda introducir la modificación de la LOPD que se está tramitando en el Congreso. Sin embargo, Yáñez no cree que, a estas alturas, la ley española vaya a incluir cambios sustanciales. El siguiente paso en el despacho de abogados será, pues, «poner en producción antes del 25 de mayo las nuevas cláusulas, contratos y medidas adicionales que establece el Reglamento Europeo de Protección de Datos».
Valle asegura que Parental Click ya nació siendo más exigente con los datos de sus usuarios que el propio Reglamento y revela que los datos personales tratados durante la prestación del servicio son eliminados cuando pasan más de siete días naturales.
La dificultad de poner de acuerdo a los socios de negocio
La adaptación al GDPR es un proceso con múltiples facetas, unas más fáciles de implementar que otras. En el caso de Écija, lo más sencillo que ha tenido que abordar el despacho es la adaptación de sus cláusulas y contratos, «así como la realización del registro de actividad de tratamientos». Más difícil ha sido para la firma de abogados el análisis de riesgos y las evaluaciones de impacto en la privacidad. «Tenemos que tener en cuenta que los riesgos en materia de privacidad, al ser algo intangible, están sujetos a multitud de interpretaciones, por lo que no siempre es fácil categorizar el nivel de riesgo que se tiene a la hora de tratar datos de carácter personal», apunta Yáñez.
Para Weblogs, lo más complicado está siendo poner de acuerdo a todos sus interlocutores en el mundo de la publicidad: agencias de medios, plataformas de adtech e intermediarios de todo tipo. «Cada uno está buscando cubrirse las espaldas legalmente y pasar a otros elementos de la cadena de valor las responsabilidades. En el caso de grandes actores con mucha capacidad de negociación, vemos que llegan a abusar de su posición», lamenta Alonso.
Para el creador de Parental Click, lo más difícil va a ser lidiar con la inseguridad jurídica que se va a producir con la adaptación del reglamento europeo a la legislación nacional.
El dato pasa al primer plano
Los tres consultados coinciden en señalar que el GDPR hace que el dato sea más protagonista si cabe en la estrategia de cualquier empresa. A partir de ahora, las compañías van a ser mucho más conscientes de la tipología de datos que utilizan, destaca Yáñez. El socio del despacho de abogados Écija también llama la atención sobre el hecho de que «pasamos de un modelo totalmente reactivo a un modelo proactivo que requiere de una gestión continuada, al igual que ocurre con otros sistemas de gestión, como la calidad».
Para Alonso, la nueva legislación en materia de protección de datos también «está incrementado la visibilidad que tienen este tipo de cuestiones dentro de las empresas». En su opinión, la gestión de la información de carácter personal va a ser «más consciente y responsable».
Según Valle, los mayores cambios los van a sufrir aquellas compañías cuyos planes de negocio pasan por dar un tratamiento comercial a los datos que atesoran. «Hay muchos usuarios cansados de no saber la fuente de dónde surgen sus datos. Hay otros que agradecen que la publicidad que les ofrecen sea aquella que les resulta interesante».
El efecto de las multas
Por último, abordamos el efecto que tendrán las multas reales a la hora de acelerar la transición de las empresas al GDPR. Y es que para muchos, las empresas españolas solo empezarán a ponerse las pilas de verdad cuando vean a otras enfrentarse a fuertes sanciones. Alonso cree que el simple anuncio de un nuevo sistema de multas ya es un «gran incentivo».
Sin embargo, en este punto se muestra escéptico Jesús Yáñez. «No creo que las sanciones vayan a ser un factor impulsor». Para el experto, lo que sí va a tener un «efecto llamada» es la obligación de elegir bien a los proveedores y asegurarse de que estos cumplen con la normativa. «No es miedo a que me pongan una sanción, es miedo a que si no adapto mi empresa y mis sistemas, es probable que mis clientes prescindan de mis servicios. Y esto son ya palabras mayores».
Hay que recordar que el Reglamento Europeo establece que, por ejemplo, las fugas de información en un proveedor de internet comprometen ante las autoridades a todas las empresas que han contratado sus servicios. Es decir, los problemas de nuestros proveedores nos van a acabar salpicando. Por eso convendrá curarnos en salud exigiendo las mayores niveles de cumplimiento con la ley a todos nuestros socios de negocio.
Por Juan Cabrera
Imágenes | iStock
