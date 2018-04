Carrera contrarreloj de las 60.000 empresas vascas para cumplir con la protección de datos Para el 25 de mayo todas las firmas europeas deberán estar adaptadas al reglamento que busca evitar abusos como el de Facebook ANA BARANDIARAN Domingo, 15 abril 2018, 00:51

Este jueves a la hora de comer más de un centenar de farmacéuticos estaban reunidos en la sede de su colegio profesional en Bilbao para escuchar las novedades que trae el nuevo reglamento europeo de protección de datos, de obligado cumplimiento a partir del 25 de mayo. La sala estaba a rebosar lo que evidencia la alta expectación. Y es que el tiempo se echa encima. La nueva regulación, de aplicación directa en toda la UE, entró en vigor en 2016 pero se dieron dos años para la adaptación. El plazo se agota y no todos han hecho los deberes. «Nos consta que queda trabajo por hacer.

Muchas firmas acumulan un importante retraso», advierte Ramón Solórzano, responsable del departamento de Nuevas Tecnologías de BSK, un despacho dedicado a esta tarea entre otras. Según recuerda, la normativa afecta a todo aquel que maneje datos personales (nombres, teléfonos, direcciones, cuentas corrientes, nóminas, historiales médicos, documentos jurídicos...), lo que incluye a las 60.000 empresas vascas entre otros muchos organismos e instituciones. A algunas les toca más cerca (firmas de publicidad y marketing, aseguradoras, clínicas, financieras, agencias de viajes...), pero todas deben cumplir.

La aplicación efectiva del Reglamento General de Protección de Datos (RGPD) se produce en un momento de convulsión tras conocerse la filtración de datos de Facebook de 87 millones de usuarios. El escándalo ha incrementado la preocupación sobre la información que las compañías recaban sobre nosotros a través de los 'me gusta' en las redes sociales y las 'cookies' que monitorizan nuestra navegación en Internet. De hecho, la regulación europea está pensada precisamente para proteger a las personas de los abusos de este tipo y el fuerte endurecimiento de las sanciones que contempla tiene como diana a gigantes como Facebook, Google o Amazon. Ahora las multas pueden llegar a 20 millones o el 4% de la facturación, si esta última cifra es mayor. Bastante disuasorias.

Acreditar las medidas

Estas sanciones no están pensadas para una empresa normal. No hay que asustarse pero tampoco relajarse», explica Javier Lizarralde, PKF Attest, durante la presentación a los farmacéuticos. Su firma, contratada por el colegio profesional, se está encargando de gestionar la adaptación de las farmacias que suscriban el servicio. Advierte, como el resto de colegas, que las empresas van con retraso y que ha sido en los últimos dos meses cuando se están poniendo las pilas y no paran de llamarles.

Según coinciden los expertos en la materia, el principal reto del nuevo reglamento es que, a diferencia del anterior, no da pautas concretas sobre lo que hay que hacer. Por ejemplo, antes se establecían unas instrucciones muy claras sobre qué medidas de seguridad (encriptación y almacenamiento) se debían adoptar en función de si los datos eran de categoría baja (nombre y teléfono), media (cuentas bancarias) o alta (salud, afiliación sindical, orientación sexual...). Ahora no. Cada cual debe analizar los datos que maneja, su vida (captación, almacenamiento, destrucción), los riesgos, y adoptar las medidas oportunas. Todo debe estar bien acreditado para una eventual inspección de la Asociación Española de Protección de Datos (AEPD), que es la autoridad competente.

Las principales novedades Consentimiento Se debe informar de manera muy clara de la finalidad para la que se solicitan los datos y recabar el consentimiento expreso de la persona. Ya no vale que sea tácito. Además, se vetan las casillas premarcadas, habrá que clicar en cada una de ellas. Las páginas web deberán adaptarse. Pedir lo mínimo El reglamento exige la «minimización de datos», es decir, que la empresa pida únicamente los necesarios para cumplir con la finalidad para la que los solicitan. Además, el formulario a rellenar deberá recoger unas cláusulas informativas redactadas con lenguaje claro y comprensible. 20 millones de euros o, si es mayor, el 4% de la facturación es el importe al que se elevan las multas por infracciones muy graves. El máximo hasta hora era de 600.000 euros, con lo que ha habido un endurecimiento. Portabilidad y olvido Aparte de reforzar los derechos ya reconocidos, se añaden los de portabilidad y olvido. El primero se refiere a que una compañía debe facilitar a sus competidoras los datos en formato accesible. El olvido implica la eliminación de la información una vez termina la finalidad para la que se recaba. Control a terceros La normativa también obliga a tener un mayor control de aquellos a los que se ceden los datos para su tratamiento. Puede ser la gestoría que hace las nóminas o la firma informática que lleva los sistemas de la compañía. Se debe acreditar que son serias y cumplen la regulación. Delegado de datos Deberán disponer de un delegado de protección de datos (DPD o DPO por sus siglas en ingles) todas las empresas y organismos que manejen datos personales a gran escala, y en especial, aquellos relacionados con la orientación sexual, las convicciones religiosas o la salud. 72 horas es el tiempo máximo que se concede para comunicar a la Agencia Española de Protección de Datos cualquier incidente -brecha de seguridad- que haya podido suponer una fuga de información personal.

No obstante, hay algunos pilares generales a tener en cuenta. El principal es que ahora se debe identificar de forma clara la finalidad de la captación de los datos y recabar el consentimiento expreso de la persona. Ya no valen las casillas premarcadas, eso es pecado mortal. «Pongamos el caso de un dentista. Si recaba los datos personales para hacerte un implante, no tiene nada que temer. Está legitimado a ello por el servicio que te va a prestar. Otra cuestión es que la clínica dental luego conserve tus datos y los utilice para mandarte publicidad de nuevos tratamientos y ofertas. Entonces es cuando entra la nueva normativa. Se debe recabar el consentimiento expreso del cliente para esa otra finalidad», explica Juan Ignacio Otegi, delegado de protección de datos de Solmicro, una firma que asesora en esta materia.

La captación

Hay compañías que ya están actualizando los consentimientos para poder enviar publicidad. Es el caso del grupo automovilístico BMW, que ha mandado un mail a todos sus clientes en el que les solicita renovar su aceptación para mandarles información sobre la marca.

En la captación de datos también se debe informar de los nuevos derechos que contempla el reglamento (aparte de los ya reconocidos), como es la portabilidad (los datos deben estar preparados para pasárselos en un formato accesible a un competidor) y el derecho al olvido.

Además de todas las novedades en torno al consentimiento, las empresas deberán establecer protocolos para almacenar de forma correcta los datos y destruirlos cuando hayan cumplido su finalidad.

Por lo general, las compañías, aparte de los datos personales de clientes, deben velar por los que tienen de sus empleados y también asegurarse de que ellos tratan con adecuada confidencialidad los datos de los clientes. En este sentido, el reglamento presta especial atención a cuestiones como la huella dactilar que ahora se solicita en muchos centros de trabajo para el acceso. También habría que analizar los ordenadores y móviles con información que se sacan fuera de la oficina, y otro apartado que siempre hay que tener en cuenta es el de las videocámaras.

Asimismo, el capítulo de proveedores merece atención. Lo más habitual es que una empresa contrate con una asesoría la gestión de las nóminas y con una firma de informática el mantenimiento de los sistemas. Pues bien, estos contratos deben también ser revisados con la nueva normativa. «La compañía debe velar por que cumplan la regulación. Por ejemplo, si yo tengo una firma contratada para destruir los documentos de los asegurados debo cerciorarme de que lo hace de forma adecuada. Y acreditarlo», apunta Pablo Garrote, el delegado de protección de datos del grupo Igualatorio Médico Quirúrgico (IMQ). Esta figura es otra gran novedad. Las empresas que manejan gran cantidad de datos y, sobre todo, si son sensibles como los de salud, están obligados a disponer de ella.

¿Es necesario contratar a una firma especializada para adaptarse? La respuesta no es fácil. «Las empresas muy pequeñas pueden arreglarse con el manual de la AEPD. Pero hay que ver cada caso. Yo por ejemplo he tenido mucho trabajo con una empresa de eventos que tenía que analizar el riesgo de cada acto que organizaba», comenta Otegi. «A partir de los 20 trabajadores es difícil que se apañen solas», añade Solórzano. La lista de las empresas más afectadas es interminable. La encabezan las de marketing y comercio electrónico, que tendrán que cuidar las bases de datos que usan, pero destacan también las aseguradoras, las financieras, las clínicas, las agencias de viajes, las gestorías, los bufetes de abogados, los instaladores de alarmas...

El IMQ es un buen ejemplo de todo el trabajo que entraña el nuevo reglamento. Las diferentes ramas del grupo -seguros, residencias, clínicas, consultas psicológicas- están en contacto con datos personales muy sensibles y en cada una de ellas se ha designado un delegado de protección de datos. El coordinador de todos ellos es Pablo Garrote: «Llevamos dos años sin parar. Hemos revisado todos los protocolos referidos a la captación de datos, empleados y proveedores. También hemos hecho una potente inversión en sistemas informáticos. Ahora debes comunicar cualquier incidente en 72 horas».

Para los farmacéuticos que han acudido a la reunión quizás el reto no sea tan grande. Pero se van con la idea de que tienen que estar muy atentos. «¡Más burocracia!», se lamenta una de las asistentes.