En poco más de diez días, el próximo 25 de mayo, entrará en vigor el Reglamento General de Protección de Datos (RGPD). Se trata de una normativa de ámbito europeo que será mucho más exigente que la actual con las administraciones públicas y las empresas, a la vez que más garantista para el ciudadano.

Desde multinacionales hasta pymes y autónomos, todos estarán obligados a su cumplimiento. «Será de aplicación, por ejemplo, a un abogado, a una empresa que construye tornillería para automóviles, a un dentista, o a una empresa de mensajería; pero también a Facebook, Google, Amazon o El Corte Inglés», resume Juan Luis Picado, director de Picado Abogados, una firma, con oficinas en Cáceres y Badajoz que está especializada desde hace ya un lustro en derecho tecnológico, seguridad informática y protección de datos. De esta manera, la norma obligará a ponerse al día, en mayor o menor medida, a las más de 31.800 empresas que hay en la región, con datos a cierre de abril de las cotizantes a la Seguridad Social. Cifra a la que habría que sumar los autónomos no incluidos en este listado (los trabajadores por cuenta propia superan los 80.000 en la región).

En realidad, la norma entró en vigor en el 2016, si bien se dio un plazo de dos años para permitir una mejor adaptación. Su aplicación instaura un principio de responsabilidad proactiva, lo que conlleva que «el profesional responsable del tratamiento de datos personales aplique técnicas organizativas apropiadas para garantizar y poder demostrar que es conforme con el reglamento», aclara Picado. Las empresas que más se verán afectadas por la nueva normativa «serán sin duda aquellas que manejen gran cantidad de datos personales o datos sensibles». Aquí entran, por ejemplo, hospitales, despachos de abogados, medios de comunicación, hoteles o compañías de seguros y banca; pero también pequeños empresarios y profesionales, como médicos privados, abogados, fisioterapeutas o gestores

¿Y cuáles son las principales modificaciones que tendrán que afrontar las empresas? «La adaptación va a suponer que las empresas habrán de tomar una serie de medidas que modifican y amplían sustancialmente el trabajo que, en parte, ya tenían hecho de acuerdo con la Ley Orgánica de Protección de Datos (LOPD) actual. Sin embargo, otras cuestiones son absolutamente novedosas», responde Picado. Entre ellas, esta la designación de un delegado de protección de datos (DPD), algo que es obligatorio para algunas firmas, pero que también puede asumirse voluntariamente. En caso de no hacerlo, hay que identificar al responsable de coordinar la adaptación. También hay que elaborar un registro de actividades de tratamiento y llevar a cabo un análisis de riesgos en función de los datos e información que se manejen. A partir de este último habrá que revisar las medidas de seguridad y establecer mecanismos y procedimientos de notificación de sus posibles quiebras.

Las relaciones con los clientes y proveedores (gestorías o de servicios informáticos, entre otros) tampoco se libran de los ajustes. «Las empresas deben tener primeramente muy claro cuáles son los datos que manejan de unos y otros», aclara este letrado. En el caso de los empleados, lo más habitual es que sean profesionales, personales, de identificación y bancarios, utilizados para formación o pago de nóminas. Y en el de los proveedores, de identificación e información financieras, usados para facturar o hacer pedidos. En este punto, Picado destaca que a partir de ahora el consentimiento que deberán prestar unos y otros para el tratamiento de sus datos «deberá ser, en todo caso, libre, inequívoco, específico e informado».

TRIPLE VERTIENTE / El cumplimiento de la normativa tiene una triple vertiente: con terceros; con la Agencia Española de Protección de Datos; y con clientes y proveedores. «Cualquier incumplimiento de las normas imperativas que marca el RGPD en estos ámbitos puede ocasionar serios problemas a la empresa», asegura Picado. Estos pueden ir desde sanciones «muy importantes» por parte de la agencia a «demandas judiciales de clientes o proveedores por la deslealtad, infidelidad o negligencia en el tratamiento o custodia de datos, o motivadas por quiebras de seguridad que provoquen la pérdida de datos personales. Nos vamos a encontrar numerosas reclamaciones y demandas judiciales en este sentido», vaticina.

En relación a las multas por no cumplir la norma, en comparación con el régimen sancionador actual, «ya no resultan fácilmente asumibles por las pymes españolas, por lo que las empresas deberán ser especialmente cuidadosas a la hora de cumplir con las exigencias del reglamento y la normativa de protección de datos estatal que lo desarrolle».

Sobre la información que, a poco más de diez días de su entrada en vigor, se tiene de esta norma, Picado apunta que «nuestra experiencia es que el tejido empresarial extremeño, si bien está sensibilizado con el hecho de que ha de proteger los datos de acuerdo con la LOPD actual, no con el conocimiento y consecuencias del nuevo reglamento. El desconocimiento es importante».

Por otro lado, con el fin de que la nueva normativa no suponga una carga burocrática para las pequeñas empresas que tratan los datos más básicos, desde la Agencia Española de Protección de Datos se ha creado una herramienta gratuita, denominada Facilita, disponible en internet para su descarga.