"El consumidor final tendrá más poder para decidir si quiere recibir publicidad o no"

El consejero delegado de Lefebvre-El Derecho, José Ángel Sandín, lleva meses participando en cursos, congresos y conferencias para explicar los cambios que implica la nueva ley. Su empresa está compuesta por equipos de abogados que ofrecerán recursos jurídicos a las empresas

José Ángel Senín. CEDIDA
photo_camera José Ángel Sandín. CEDIDA

TRAS MESES ofreciendo cursos formativos a empresarios, el consejero delegado de Lefebvre-El Derecho, José Ángel Sandín, ofrece un repaso de lo que va a suponer el nuevo Reglamento de Protección de Datos para las empresas y sus clientes. El consentimiento expreso y el carácter proactivo de la ley son dos de los puntos fundamentales de la norma.

Este nuevo reglamento afectará a la práctica totalidad de las empresas. ¿Es así?
El reglamento se modula según la importancia de los datos que se tratan. Por ejemplo, si eres una ferretería y solo das tickets de caja y no estás recopilando datos sensibles de tus clientes, el impacto es poco en comparación a como lo estabas haciendo antes. Si hay envíos de emails a clientes tienes que tener algo más de cuidado. Antes para hacer envíos publicitarios podías recabar el consentimiento tácito. Es decir, si le preguntas a una persona si quiere recibir información publicitaria y no te responde, al no hacerlo, te está autorizando tácitamente a hacerlo. Ahora ya no es así, el consentimiento tiene que ser expreso. Con toda la transformación digital que estamos viviendo, es raro encontrar negocios que no están haciendo comunicación directa con los clientes o integrando el márketing personal y directo en sus estrategias de comunicación y promoción. El frutero que me trae la fruta a casa me envía emails, por eso creo que este reglamento afectará al 100% de las empresas.

¿Qué rutinas va a tener que cambiar su frutero en su trabajo para cumplir con la nueva norma?
El gran principio que cambia es el de la proactividad. El empresario tiene que tener una actitud proactiva en cuando a observar y cumplir el reglamento. Es su responsabilidad cumplir y demostrar que lo hace. Es necesario tener un sistema que le permita esto. Normalmente, tiene que tener una persona que controle del tema para verificar que se cumplen las exigencias. Esto es un proceso estandarizado según la norma ISO 19600, que ordena cómo aplicar todo esto. En el caso de un frutero son cuatro cositas que puede solucionar llamando a la Agencia de Protección de Datos o una consultoría. Tiene que tener ciertas medidas de seguridad para que esos datos no sean pirateables, por ejemplo. Aunque es sencillo para las empresas pequeñas, las pymes y los autónomos sí deben asesorarse.

"En mi opinión menos de 40% de las empresas están preparadas para adaptarse al nuevo reglamento"

¿Están las empresas preparadas para cumplir con lo que se les exige a partir del 25 de mayo?
Yo creo que no. Como siempre, nos hemos dormido un poco y hemos dejado todo para el final. Si ahora preguntásemos cuántas empresas están preparadas, yo pienso que menos del 40% de ellas están listas para la nueva regulación. Pienso, y esto es una opinión personal, que la Agencia va a ir poco a poco y no va a ser extremadamente estricta en un primer momento con las pymes. En las empresas más grandes sí se va a notar que cambian esta manera de gestionar. Los que tienen que tenerlo muy claro son los asesores de las pymes, porque tienen que darle un adecuado asesoramiento a sus clientes porque los riesgos en los que incurren son mayores. Además, también tienen que tener cuidado quienes son asesores de empresas o en grandes compañía.

También surge la figura del delegado de protección de datos. ¿Qué perfil tiene que tener esta persona?
No tiene por qué estar dentro de la empresa, puede ser un consultor externo. Ahora mismo se están formando muchas personas. Son. o bien expertos en protección de datos de grandes empresas que ya contaban con esta figura y que se están actualizando, o consultores externos. Este delegado tiene la obligación de examinar las exigencias de la norma, revisar que se cumplen y demostrarlo, tal y como comentaba antes. Estas personas necesitan conocer la norma muy bien para poder aplicarla. Son quienes se encargan de enviar los mailings a los clientes con procedimientos que aseguran el cumplimiento. Además, en nuestra empresa tenemos un software que establece las medidas para neutralizar los riesgos y permite demostrar que se está haciendo el cumplimiento adecuado de la norma.

¿Cómo va a afectar a los ciudadanos el cambio de reglamento? ¿En qué se va a notar?
A mí me gusta recibir información. Yo recibo publicidad de las empresas que me interesan en mi mail y en los últimos meses me han preguntado si quiero seguir recibiendo publicidad suya. Algunas de ellas ya tienen mi consentimiento expreso porque me interesa. Vamos a seguir recibiendo publicidad pero estas empresas tienen que verificar que yo quiero recibir esa información. En la medida en que yo quiera cortar el flujo de información puedo hacerlo. Lo que se va a evitar es que haya nuevos envíos de publicidad sin tener nuestro consentimiento. Esto para determinadas empresas va a complicar las cosas. El objetivo es darle más poder al consumidor final que tiene en su mano la voluntad de recibir o no información.

"La Ley Orgánica de Protección de Datos es de las más exigentes en Europa junto con la alemana"

¿Había alguna otra carencia en el sistema actual?
Yo creo que la actual Ley Orgánica de Protección de Datos estaba bien, de hecho es de las más exigentes de Europa junto con la alemana. El gran cambio es que hay que ser más preventivo en todo. Por ejemplo, antes, si había un fallo en la seguridad, se corregía y ya estaba. Ahora te exigen que informes a la Agencia de Protección de Datos de dicho fallo. Esto debe hacerlo la empresa de motu propio, sin que sea requerida para ello. Si no se hace y luego se produce un robo de datos, la empresa habrá incurrido en dos faltas: la pérdida de esos datos y no haberlo comunicado, Si lo comunica, estaría en una situación de penalización menor que si no lo hubiese hecho. Esa es la principal carencia que había antes. Como no existía el principio de responsabilidad proactiva, una empresa que no estuviese cumpliendo no sufría ningún tipo de consecuencia a no ser que hubiese un problema. Sin embargo ahora, las compañías deben ser más responsables y notificar las brechas, si las hubiese. Esto va a hacer que el cumplimiento de la norma se extienda mucho más en las empresas.

Comentarios