«Incumprir a norma de protección de datos pode levar a sancións moi altas»

Xa pasou o 25 de maio, e polo tanto xa está en vigor o novo regulamento sobre protección de datos. Novos tempos e novas normas traen novas especializacións profesionais, por exemplo no dereito. Román Arias Fraiz (O Carballiño, 1991) é avogado, da xeración que medrou coas novas tecnoloxías, e non perde ocasión para afondar na especialización en cuestións como as que afectan á videovixilancia e á protección de datos, tan de actualidade polo novo regulamento sobre o uso de datos persoais.

-E agora que pasa?

-Pois agora un particular, por exemplo, sabe que o ten máis doado para evitar que lle inunden o correo electrónico con información que non pediu. E se non ve atendida a súa queixa, para que o deixen en paz, ten máis facilidades para denunciar.

-A un ourensán do común, sirva a expresión, que lle importa esta norma e que debe saber?

-Talvez o máis importante, debe saber que no ámbito profesional e empresarial está obrigado a cumprila. No persoal, agora poderá exercer máis control sobre os seus datos para evitar abusos. Isto non quita que se deba ter coidado á hora de facilitar datos persoais a terceiros.

-Quen debe estar especialmente vixiante e que debe facer?

-Calquera persoa, física ou xurídica, empresa pública ou privada, ou entidade sen ánimo de lucro, cando no exercicio da súa actividade trate datos de carácter persoal, ten que coñecela. Concellos, pequenas e medianas empresas, autónomos, comunidades de propietarios, de montes, ou clubs deportivos. Calquera que manexe datos persoais alleos. Entre as obrigas está a de realizar análises de risco, avaliacións de impacto e un rexistro de actividade no manexo dos datos, que substitúe á anterior esixencia de inscrición de ficheiros na Agencia Española de Protección de Datos (AEPD). Hai que adaptar formularios e cláusulas dos contratos, facturas, páxinas web e cookies. Especialmente cando se prestan servizos en liña, con posibilidade de mercado electrónico, é imprescindible estar ao día.

-Que teñen que facer, ou que deberían ter feito, as empresas obrigadas a adaptarse?

-O seu é designar un delegado de protección de datos, un DPO, nas siglas en inglés, que corresponde a Data Protection Officer. É unha figura creada polo regulamento europeo. Deberá ter coñecementos en dereito e protección de datos. A súa designación tería que comunicarse á AEPD antes do 25 de maio para sectores como sanidade, educación, entidades aseguradoras e colexios profesionais. É o contacto coa AEPD, e encárgase do procedemento ante inspeccións ou denuncias, control e cumprimento.

-Cre que existe suficiente información sobre as novidades?

-Estes últimos días todos temos recibido correos electrónicos, e comunicacións, para renovar consentimentos no tratamento de datos. Non se pode negar que a AEPD facilita moita información e dota de recursos aos obrigados, contando cunha páxina web moi dinámica, pero entendo que non se chegou o suficiente a eses mesmos obrigados e cidadáns en xeral, en canto á transcendencia que supón o cambio tan substancial desta norma.

-Que tipo de problemas pode traer, a particulares ou empresas, non estar ao día?

-Sobre todo, ás empresas. O seu incumprimento pode ocasionar denuncias, tanto por particulares que consideren que os seus datos están sendo tratados de xeito ilexítimo, como a partir de inspeccións da propia AEPD. Pode dar lugar a sancións moi altas. Falamos de cantidades de dez a vinte millóns de euros, ou, tratándose dunha empresa, entre o 2 % e o 4 % do volume de negocio.

-Quen vixía o cumprimento?

-A autoridade de control de cada un dos países europeos. En España é a AEPD, coa Autoridad Catalana e a Axencia Vasca de Protección de Datos, respectivamente, nesas comunidades.

-E logo en Galicia?

-Non hai axencia propia.