La compleja gestión de los datos de clientes
La entrada en vigor del Reglamento de Protección de Datos obliga a las empresas a adoptar con carácter inmediato medidas que hasta ahora desconocían, subraya la autora, que analiza las nuevas obligaciones legales y las consecuencias de su incumplimiento
El pasado 19 de abril entró en vigor el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobada en virtud del Real Decreto 1720/2007, de 21 de diciembre. Esta fecha supone el pistoletazo de salida para que las empresas implementen las nuevas obligaciones legales y técnicas en materia de protección de datos. El nuevo reglamento, muy esperado, incorpora múltiples novedades al tratamiento de datos de carácter personal, entre las que destaca la inclusión dentro del ámbito de aplicación de los datos que se encuentran en soporte papel.
La preocupación de las empresas en esta materia, independientemente de su actividad, está justificada en base a las sanciones tan elevadas que impone la Agencia Española de Protección de Datos y que pueden llegar hasta los 600.000 euros. Sin embargo, adoptar las nuevas medidas exigidas resulta una tarea compleja y, cuanto menos, conlleva un desembolso económico. No es posible determinar si la complicación es mayor o menor para las pymes o para las grandes empresas, independientemente de su tamaño; de hecho, las obligaciones vienen a ser las mismas.
Al margen del reglamento, nuestro país tiene cada vez más conciencia en materia de protección de datos aunque bien es cierto que nos encontramos ante obligaciones adicionales a las que había hasta ahora. Los artículos del reglamento no son todo lo claros que nos gustaría, todavía no han sido interpretados por la Agencia y las empresas, preocupadas, se ven en la tesitura de adoptar con carácter inmediato nuevas medidas que hasta ahora desconocían.
La Agencia de Protección de Datos quiere divulgar la nueva norma sin pensar por ahora en imponer sanciones
De entre todas las nuevas obligaciones legales hay dos que son las que están siendo más polémicas y que suscitan mayores dudas. Por un lado, la relativa a la solicitud del consentimiento en el marco de una relación contractual para el tratamiento de datos personales con fines no relacionados directamente con la misma y que exige la incorporación de casillas claramente visibles que identifiquen tales finalidades de forma que el interesado pueda negarse expresamente a estos tratamientos. Y la segunda, la relativa al nuevo procedimiento para recabar el consentimiento de los afectados que exige como novedad que la empresa facilite a sus clientes medios sencillos y gratuitos para manifestar su negativa al tratamiento de datos. El texto del propio reglamento sugiere sobres prefranqueados o números telefónicos gratuitos.
Ambos requerimientos incrementan los costes y los esfuerzos que deben realizar las compañías que deberán revisar sus procedimientos de recogida de datos, por ejemplo, viéndose obligadas en muchos casos a reimprimir los formularios de recogida de los mismos o a cambiar los textos de los formularios web que habrán de incorporarse, muchas veces, sin suficiente espacio físico para incluir los nuevos contenidos.
Ante el nuevo reglamento, determinados sectores, como el financiero, el bancario o el de seguros, han decidido adoptar conjuntamente soluciones alternativas que, aunque cumplan con el espíritu de la norma, no lo hacen de forma literal. Como ellos mismos confiesan, es inviable incluir tantas casillas como finalidades del uso de los datos vayan a realizar.
No sabemos si tendremos que esperar a que la Agencia dicte resoluciones que interpreten esta nueva norma para aclarar algunas de nuestras dudas. Desconocemos si hay que esperar a que se empiecen a imponer las primeras sanciones para que las empresas adopten soluciones acordes con la línea interpretativa de la Agencia o si, por el contrario, estamos en la dirección correcta, tratando de no llevar al máximo extremo el espíritu de la norma, y si acertamos cumpliendo de forma razonable con estas nuevas obligaciones.
Lo que sí sabemos es que, de momento, la propia Agencia ha declarado que estamos en un periodo de tregua, de transición, que quiere divulgar y dar a conocer lo más extensamente posible el reglamento, sin pensar por ahora en imponer sanciones que versen sobre incumplimientos directamente relacionados con la implementación de la misma. ¿Hasta cuándo durará esta tregua?
Cayetana Vela Sánchez-Merlo. Abogado de Ernst & Young Abogados