El desconcierto de las empresas y los cientos de miles de dudas que presentaron despachos de abogados y otro tipo de profesionales evidencia la improvisación del proceso
15 jul 2018 . Actualizado a las 09:13 h.El Reglamento General de Protección de Datos de la Unión Europea entró en vigor el 25 de mayo y lo hizo tarde, mal y a rastras. El desconcierto de las empresas y los cientos de miles de dudas que presentaron despachos de abogados y otro tipo de profesionales dejó en evidencia la improvisación con la que se había acometido el proceso. Cuando a través del BOE se pegó el bocinazo para el inmediato cumplimiento de la norma, las exigencias no se ejecutaban como debería y, lo peor, ahora tampoco. Las consultas en materia de privacidad recibidas en Legálitas se incrementaron un 368 % respecto al promedio de meses anteriores, siendo muy representativas las llevadas a cabo por pymes y autónomos, que de manera directa o indirecta reconocieron que no tenían ni idea de qué hacer en ciertos supuestos ni de lo que les podía ocurrir.
A modo de ejemplo, una sastrería se preguntaba cómo comunicar las tallas de sus clientes a la Agencia de Protección de Datos, ya que es el único dato que guardaban. Un médico con consulta privada dijo que no guardaba ningún dato de sus pacientes (historiales médicos, proveedores, etcétera), ya que los tenía «en la cabeza y cuando le falle, lo deja». Existen taxistas que entienden que no se les aplica la ley, pero están equivocados. Tienen gestión de cobro por TPV y la geolocalización por GPS. También hay centros de belleza que, sin saberlo, tratan datos sensibles que requieren una mayor protección, como es el caso de la depilación láser.
A la pregunta de qué empresa tiene que adecuarse en materia de protección de datos, la respuesta es todas. No sirve de excusa ser un pequeño empresario y creer que no se le aplica la normativa por esa condición. Aunque es cierto que sus obligaciones no serán iguales a las de una gran empresa con tratamiento de datos a gran escala. Tampoco exime de cumplir la ley a los negocios en los que no haya nada informatizado y todo absolutamente todo esté apuntado en agendas o carpetas físicas. Cualquier dato que se trae de un cliente, paciente, prospecto comercial, empleado, etcétera debe de estar protegido. Un portavoz de Legálitas advierte de que la desinformación sigue siendo notable, y que si la Agencia de Protección de Datos aplicara a rajatabla el reglamento, surgirían las primeras sanciones.
De acuerdo con lo que recoge la ley, las infracciones pueden ser de tres tipos:
Leves
Multa de entre 900 hasta los 40.000 euros. Entre estas infracciones figuran el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado, o no solicitar la inscripción del fichero de datos de carácter personal en el registro general.
Graves
Multas de entre 40.001 a 300.000 euros. Tendrá que hacerles frente el empresario que obstaculiza o impide el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. O aquel que no informe al afectado acerca del tratamiento de sus datos de carácter personal cuando no hayan sido recabados por el propio interesado.
Muy graves
Multas de entre 300.001 a 600.000 euros. Incurren en este tipo de infracción aquellos que hayan recogido datos de forma engañosa o fraudulenta. O los que transfieran datos de carácter personal a países que no proporcionen un nivel de protección equiparable sin autorización del director de la Agencia salvo en ciertos supuestos.
Si tiene alguna duda, puede contactar con la Agencia de Protección de Datos. Aunque es complicado, no desespere. Sepa que tras descolgar el teléfono suele escucharse una voz que dice: «En estos momentos no podemos atenderle. Por favor, llamen pasados unos minutos». Vuelva a intentarlo en el 91 266 3517 o en el 901 100 099.
Eso sí, tenga en cuenta que trabajan en horario de verano (por curiosidad, ¿y usted?): de 9 de la mañana a 3 de la tarde.