La nueva norma de protección de datos obliga a 22.000 empresas pontevedresas a adaptarse en 15 días

El Reglamento de Protección de Datos fue elaborado por el Parlamento Europeo en 2016 y será de obligado cumplimiento a partir del 25 de mayo ▶Las empresas y administraciones que no cumplan las condiciones se enfrentan a multas de hasta 20 millones de euros

Nuevo Reglamento de Protección de Datos. Javier Cervera-Mercadillo
photo_camera Nuevo Reglamento de Protección de Datos. JAVIER CERVERA-MERCADILLO

Facebook, Twitter o Instagram lo están haciendo. El nuevo Reglamento de Protección de Datos elaborado por el Parlamento Europeo, que será obligatorio cumplir a partir del 25 de mayo, ha provocado que las empresas tengan que revisar sus procedimientos en lo que se refiere al tratamiento de los datos de sus clientes. Las redes sociales son un ejemplo de cómo las empresas modifican estos días la forma en la que gestionan la información personal. Así, es necesario pedir el consentimiento de los usuarios para utilizar sus datos e informarlos del uso que se hace de los mismos.

Al igual que lo hacen las grandes plataformas, cualquier empresa o administración que maneje datos de personas tendrá que adecuarse a la nueva normativa, desde un colegio que acumula expedientes de alumnos a una pequeña empresa que venda sus productos por Internet (y tenga datos de contacto de sus clientes), pasando por un supermercado que cuenta con información de sus compradores. En la comarca serán en torno a 22.000 las firmas que tendrán que adaptarse, según la cantidad de empresas que constan en los registros.

Las empresas y administraciones públicas han tenido dos años para adaptarse a la nueva normativa. Sin embargo, el presidente de la Confederación de Empresarios de Pontevedra, Jorge Cebreiros, señala que son muy pocas las empresas que han hecho los deberes. "Si solo el 35% de las empresas cumplen con la actual ley, que lleva en vigor 20 años, puedo afirmar que el porcentaje de firmas que han hecho el proceso de adaptación a la nueva normativa es ínfimo", indica Cebreiros. Se refiere a la Ley Orgánica 15/1999 de Proteción de Datos, que surgió a raíz de una directiva emitida en 1995 por el Parlamento Europeo.

Si solo el 35% de las empresas cumplen con la actual ley, que lleva en vigor 20 años, puedo afirmar que el porcentaje de firmas que han hecho el proceso de adaptación a la nueva normativa es ínfimo


El presidente de los empresarios de la provincia critica que haya muy poca información acerca de la implantación de las medidas. De este modo, aunque se contemplan sanciones de hasta dos millones de euros en los casos más graves, Cebreiros confía en que las autoridades no sean estrictas en el cumplimiento de la norma "a no ser que la empresa haga un uso incorrecto de los datos personales con mala fe". Un aspecto fundamental del reglamento es que las empresas deben contar con el consentimiento expreso del usuario antes de utilizar sus datos. "En ese aspecto supongo que se pondrán más estrictos", cuenta Cebreiros.

Este es uno de los principales cambios en la normativa. Antes bastaba solo con el consentimiento tácito. Es decir, aún a pesar de  que un usuario de una web no aceptase ciertas condiciones, se podía utilizar, por ejemplo, su dirección de correo electrónico para enviarle publicidad. Ahora ya no será así y será fundamental contar con el permiso de esa persona para poder utilizar su contacto. Además, las empresas tienen que tener una actitud proactiva, de modo que es su responsabilidad cumplir con el reglamento y demostrarlo. Para ello, surge la figura del delegado de protección de datos, que tendrán que tener todas las empresas que manejen información sensible de las personas, las administraciones públicas y las entidades que hagan un tratamiento de datos a gran escala. Así, un colegio, una clínica dental o un sindicato deberán contar con esta figura, aunque no necesariamente tiene que ser un empleado de la empresa, ya que el servicio se puede contratar a una consultora externa. Lo explica el experto en protección de datos Ignacio Hornes, de la firma pontevedresa Norsecurity, que estos días trabaja con diferentes entidades de toda España en la adaptación a la nueva normativa. "Las empresas grandes lo tienen más fácil, a las pequeñas les cuesta más, pero con el tiempo acabarán adecuándose", explica. 

Según el presidente de los empresarios pontevedreses, solo el 35% de las empresas cumplen la actual normativa

 

De este modo, Hornes no es tan optimista como el presidente de los empresarios en lo que se refiere a la imposición de sanciones. "Las sanciones se van a aplicar sí o sí. Las empresas que no quieran hacer el proceso de adaptación pueden no hacerlo y correr el riesgo, pero se enfrentan a sanciones".

Numerosas compañías se han puesto ya en marcha para formar a sus trabajadores en el nuevo reglamento. El Hospital Quirónsalud Miguel Domínguez, por ejemplo, ya ha impartido cursos a sus trabajadores sobre las nuevas normas, ya que un hospital cuenta con datos personales especialmente sensibles. Lo mismo ocurre en colegios y administraciones públicas, aunque el presidente de los empresarios de la provincia, Jorge Cebreiros, desconfía de que las instituciones públicas se hayan puesto al día con la nueva normativa. "Me parece ingenuo creer que la Administración está preparada para el cambio", explica.

"O único investimento que fixemos foi de tempo"

Las empresas que venden sus productos a través de Internet están afectadas por los cambios en la normativa sobre la protección de datos. Así, la empresa Soutelana, que comercia con electrodomésticos y todo tipo de productos de ferretería, ha tenido que modificar algunos aspectos de su página web, soutelana.com.

El responsable de la plataforma, Adrián Antelo, explica que el trabajo de adaptación fue costoso en lo que se refiere a tiempo, ya que la empresa no tuvo que realizar ninguna inversión. "Nós xa tiñamos contratados os servizos dunha consultora que nos axudou con todo o proceso e proporcionounos información sobre o novo reglamento, por iso o único investimento que fixemos foi de tempo, esforzo e traballo", explica Antelo. Aunque quedan todavía algunos detalles por perfilar, la web ya está prácticamente adaptada a la nueva normativa. 

"O traballo consistiu principalmente en engadir á web información detallada e textos dirixidos aos usuarios nos que lles explicamos que datos temos sobre eles e que imos facer cos mesmos", cuenta el responsable de la empresa. De este modo, las webs no podrán activar cookies de tercera durante la navegación de un usuario en su web a no ser que éste de su consentimiento expreso. 

Pero, ¿qué son las cookies de tercera? Se trata de información que las páginas web pueden obtener sobre sus usuarios. De este modo, cuando una persona que navega por Internet acepta una cookie da permiso a la plataforma que visita para que tenga acceso a datos como su posición geográfica u otras páginas web que ha visitado. Esto permite que las empresas utilicen toda esa información para enviar publicidad a medida de cada usuario, teniendo en cuenta sus búsquedas anteriores. El uso de este tipo de cookies estará más controlado a partir de ahora y será necesario que los usuarios de Internet den su permiso expresamente para que esos datos se puedan extraer de su navegación. En el caso de la empresa de Soutelo de Montes, la página web ya daba a sus clientes la opción de decidir si querían recibir emails publicitarios o no. "Coa compra dun electrodoméstico ofrecemos tamén a posibilidade de que os nosos técnicos realicen o transporte e a instalación. Agora, para anuncialo, teremos que ter o consentimento dos clientes", cuenta. 

Soutelana.com cuenta ya con su propio delegado de protección de datos. Se trata de un empleado de la empresa que ha recibido la formación pertinente para poder ejercer dicha tarea. Además, la empresa cuenta con el apoyo de una consultora a la que acceden cada vez que tiene dudas. "A Axencia de Protección de Datos si que dá unha serie de indicacións para as empresas, pero se non tivesemos contratados os servizos dunha consultora sería moito máis difícil porque o acceso á información ás veces é complicado", cuenta Antelo. 

​Más difícil lo tienen empresas que manejan datos sensibles sobre personas físicas. De este modo, en Soutelana.com no hay información médica, religiosa o étnica sobre los clientes que realizan sus compras a través de la web. "Os datos máis comprometidos que temos é a información bancaria que poidan achegar para facer compras", cuenta Antelo. De este modo, el proceso de adaptación se simplifica. Aún así, es necesario proporcionar un sistema de seguridad que garantice que la información de los clientes almacenada está a buen recaudo. 

Comentarios