Los reglamentos y normativas europeos pueden parecernos ajenos, pero tienen una repercusión directa sobre la vida de las empresas. Es el caso del nuevo Reglamento General Protección de Datos (RGPD), que será de obligado cumplimiento a partir del próximo 25 de mayo. La normativa lleva ya dos años en vigor, pero estaba sujeta a una moratoria. Los plazos, por tanto, se acaban, y a partir de finales de mayo ya no habrá excusas que eviten su aplicación.
El nuevo reglamento busca establecer una política común entre los estados miembros en materia de privacidad y protección de datos. Para aplicar el RGPD en España, el gobierno ha tenido que modificar la Ley Orgánica de Protección de Datos vigente en nuestro país, con la finalidad de adaptarla a los preceptos del reglamento europeo.
Una ley desconocida
La protección de datos todavía suena bastante a chino entre las empresas españolas. Según las encuestas del sector, el 51% de las empresas no sabe en qué consiste el nuevo reglamento. Muchas de ellas utilizan datos de los clientes sin su consentimiento, lo que puede derivar en importantes sanciones económicas.
La nueva reglamentación pretende asegurar a los particulares que sus datos están protegidos y que no se pueden utilizar ni difundir sin previa autorización. Cualquier empresa que disponga de datos sobre sus clientes está obligada a cumplir con la normativa. Y, ¿qué tienen que hacer las compañías para ponerse al día en esta materia? La Agencia Española de Protección de Datos (AEPD) ha puesto a disposición de los emprendedores algunas herramientas para facilitar la labor, pero lo más práctico es contratar los servicios de una agencia especializada.
Principales novedades de la RGPD
El nuevo reglamento incluye novedades relevantes referidas principalmente al consentimiento y a la materia de sanciones.
- Consentimiento
Hasta el momento, el consentimiento o autorización para el uso de información personal no se regía por criterios demasiados estrictos. Algunas empresas hacían uso del denominado «consentimiento por omisión», es decir, si el particular no prohibía expresamente el uso de sus datos, la entidad se otorgaba el derecho de utilizarlos libremente.
La nueva reglamentación, sin embargo, obliga a las empresas a poseer un documento o declaración explícita que autorice el uso y difusión de los datos.
- Sanciones
El incumplimiento de la RDPD puede dar lugar a sanciones cuantiosas. Para las empresas con un alto volumen de facturación, las multas económicas pueden llegar a los 20.000 €, mientras que para las empresas con menor nivel de negocio la sanción será el equivalente a un 4% de su facturación.
- Concepto de información personal
El reglamento incluye una definición ampliada de lo que se consideran datos personales. A partir de ahora, se tratará como información personal cualquier detalle que tenga relación con la vida privada o pública del cliente: direcciones de correo electrónico, fotos, domicilio, informes médicos, etc. Incluso los datos publicados en redes sociales serán interpretadas como información personal.
- Cláusulas y «avisos legales»
Las empresas deberán informar con claridad a sus clientes sobre aspectos como el tiempo en que se guardará la información o el derecho del particular a eliminar sus datos personales.