A la caza del consentimiento expreso para usar sus datos

Un aluvión de «emails» para avisar de las nuevas políticas de privacidad de las empresas ha inundado las cuentas de correo de miles de clientes en los últimos días; la entrada en vigor, anteayer, del Reglamento Europeo de Protección de Datos da más derechos al usuario sobre el control de su información


Redacción / La Voz

«Creemos que nuestros pasajeros siempre deben tener el control de todos sus datos personales. Por eso, y con el fin de adaptarnos al nuevo Reglamento General de Protección de Datos, hemos actualizado nuestra política de privacidad...». La explicación encabeza el primer párrafo del correo electrónico remitido por una compañía aérea española a sus clientes tan solo tres días antes de la entrada en vigor, anteayer, del Reglamento General de Protección de Datos (RGPD), promulgado por el Parlamento Europeo. El documento unifica las reglas del juego en Europa y da más poder al usuario sobre el control de sus datos en un contexto económico global en el que estos son el nuevo petróleo. Las empresas que incumplan nuevas obligaciones relativas, por ejemplo, al plazo de conservación de datos, derecho del usuario a pedir la portabilidad o retirar el consentimiento de uso en cualquier momento o el derecho al olvido están expuestas a multas que, en los casos más graves, pueden llegar hasta los 20 millones de euros o el 4 % de la facturación mundial de la compañía.

El correo enviado por la aerolínea no fue el único con el que las empresas han inundado las cuentas de correo de clientes o proveedores. «El último mes fue un maratón continuo», corrobora Eusebio Bolón, el delegado de Protección de Datos del Grupo Hastoplay y Betmedia. Su puesto nace del reglamento europeo, que obliga a las administraciones públicas y a las empresas cuya actividad principal sea el manejo en masa de datos. También a aquellas que usen categorías especialmente protegidas a tener un delegado de Protección de Datos que deberá velar por el cumplimento del reglamento.

El objetivo de los avisos remitidos los últimos días, como explica la abogada experta en Protección de Datos Patricia Borreguero, es que «las empresas han de adecuar sus políticas de privacidad al RGPD, y recabar el consentimiento expreso de los usuarios para poder tratar sus datos personales, no presuponerlo. No es suficiente el consentimiento tácito del usuario, que aparezca un consentimiento recabado previamente, al amparo de la Ley de Protección de Datos de 1999, sino que el reglamento europeo exige que sea un consentimiento expreso, inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo».

No cabe duda de que el aluvión de correos que arreció durante los días previos a la entrada en vigor de un reglamento aprobado en el 2016 prueba que, como apuntan fuentes de una empresa que la semana pasada ultimaba los cambios para cumplir los mandatos de Europa, muchas compañías han esperado al último momento para hacerlo, pese a que han tenido dos años de plazo. ¿Por qué? «Había consultoras que invitaban a esperar a la aprobación del anteproyecto de Ley de Protección de Datos que aprobó el Congreso el pasado noviembre para desarrollar el reglamento europeo en España. El problema es que su aprobación no llegó a tiempo y hay algunas firmas a las que les ha cogido el toro».

Al no estar aprobada esa ley todavía, en aquellas materias que no contradiga la norma europea continúa vigente la ley de 1999. Hay muchos campos abiertos. Lo que está claro, como apunta Eusebio Bolón, es que «el reglamento cambia la percepción que ha de hacer la empresa del tratamiento de la información».

Aunque no es lo mismo, como coinciden Patricia Borreguero y Bárbara Vega, miembro del Colegio de Gestores Administrativos de Galicia y gestora de Capital Asesores, «una cafetería, una pyme o una peluquería que pueda manejar correos electrónicos que una empresa o administración cuya actividad la obligue a manejar datos médicos o antecedentes penales».

Lo que observa Patricia Borreguero es que en el mundo empresarial gallego «hay una gran preocupación por cumplir con la normativa y las que ya estaban adaptadas a la norma de 1999 lo ven asumible. El problema es para el que no haya hecho nada». En este sentido, Bárbara Vega añade que «había alguna empresa que como hasta ahora no conocía a nadie al que hubieran multado por no cumplir la ley de 1999, lo dejaba un poco en el aire. Pero parece que con el reglamento europeo las cosas van a cambiar». El manejo de datos personales no es una broma.

Los usuarios de una red social tienen derecho a pedir la portabilidad de su historial o sus datos a otra compañía.

Un puesto con responsabilidad para el que hay que estar acreditado por ENAC

la figura del delegado de protección de datos

Tendrán las empresas en el futuro un departamento de protección de datos? Esa es la pregunta que, como apuntan desde una compañía consultada, se formulan internamente algunas sociedades dedicadas al mundo digital y al manejo de datos. La idea no es descabellada porque, añaden, hace unos años tampoco había departamentos de márketing, gabinetes de comunicación o área de recursos humanos. Pero de momento la nueva figura que, según el reglamento europeo, han de implementar las administraciones públicas o las compañías que manejen datos a gran escala o informaciones personales delicadas es la del delegado de Protección de Datos. Aunque aún no está del todo claro porque el reglamento marca sus funciones y responsabilidades, pero no cuáles han de ser sus competencias o cualificaciones profesionales (titulación y experiencia), la gestora Bárbara Vega apunta que «debe ser alguien con conocimientos de Derecho, pero además han de estar acreditados por la ENAC. Puede ser alguien de la compañía o un consultor externo».

Conoce toda nuestra oferta de newsletters

Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.

Votación
0 votos
Comentarios

A la caza del consentimiento expreso para usar sus datos