La Federación Empresarial Segoviana (FES) y Audidat, consultora especializada en protección de datos, ofrecieron ayer una jornada informativa y formativa dirigida a empresarios segovianos ante la inminente aplicación del Reglamento General Europeo de Protección de Datos (RGPD) el 25 de mayo de este año, que además de homogeneizar la normativa en toda la UE recoge cambios importantes por ejemplo en cuanto al derecho a la información.
El ponente fue Isidro Gómez-Juárez Sidera, del departamento técnico-jurídico de Audidat, quien antes de la jornada explicó a El Adelantado que a partir del 25 de mayo se exigirá el cumplimiento de las medidas que incorpora un Reglamento que fue aprobado en 2016 y que ha tenido una moratoria de dos años en su aplicación para que empresas y administraciones públicas se adapten.
En el terreno del derecho a la información hasta ahora los ciudadanos corrientes se enfrentan a textos muy legales, con un lenguaje en ocasiones poco claro, para dar su consentimiento sobre el tratamiento de sus datos personales en un banco, en internet, en telefonía móvil, etc. Con la aplicación del RGPD será obligatorio que esa información esté redactada de una forma comprensible para cualquiera, compatible para una persona sin formación legal.
Responsabilidad activa
Otra de las principales novedades es el principio de responsabilidad activa, de manera que a partir de ahora la Agencia Española de Protección de Datos puede exigir a las empresas que acrediten que cumplen con la normativa.
Según Gómez-Juárez esto supone un cambio de mentalidad, y a que “mientras hasta ahora te decía las normas que tienes que cumplir, ahora cada empresa tienen que decidir y planificar la protección de datos de sus clientes, empleados, proveedores y acreditar ante la Agencia que los está protegiendo efectivamente.
Por otro lado tienen que registrar fichas de datos en un registro interno para garantizar que controla esa información.
Otra cuestión de gran importancia es que ante cualquier problema que garantice la seguridad de esa información, empresas, ayuntamientos, etc, están obligadas a comunicarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, el mismo en el que tienen también para informar a los posibles afectados.
La comunicación a la Agencia es para qué estudie cómo afectará a los ciudadanos sobre todo cuando se trata de grandes corporaciones con muchos clientes como Telefónica, bancos o un hospital o la consejería de una Comunidad Autónoma.
También introduce la nueva normativa la figura del delegado de protección de datos, aunque las pymes en principio no estarán obligadas a tenerla —no tendría mucho sentido en una peluquería, por ejemplo— pero sí pueden hacerlo voluntariamente. En palabras del ponente “será como el sheriff que vele dentro de una empresa o administración pública porque se cumple la normativa de protección de datos”.
Sanciones
En cuanto al régimen sancionador, en España actualmente la sanción máxima es de 600.000 euros y desde el 25 de mayo pasará a ser de 20 millones de euros o el 4% del volumen de facturación anual de una empresa; es decir, la cantidad más elevada. El objetivo de esta medida es disuasorio para que se respeten los derechos de los ciudadanos.
Quizá lo más importante del Reglamento General Europeo de Protección de Datos es que responde a los retos actuales que, por ejemplo no contempla la Ley española, para hacer frente a las situaciones generadas, por ejemplo, por el uso de WhatsApp o redes sociales, pero también a las aplicaciones tecnológicas del futuro, con vehículos conectados a semáforos, prendas que informarán del estado de salud de quienes las visten o frigoríficos que pueden enviar información al supermercado cuando se ha agotado la leche, según comenta Gómez-Juárez, quien apunta que estar al día en protección de datos es un valor añadido para las empresas porque da seguridad a sus clientes.
