El coste de la Ley de Datos
Esta semana se cumple un año de la entrada en vigor del Nuevo Reglamento de Protección de Datos, RD 1720/2007, que desarrolla la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Las nuevas obligaciones legales y técnicas que se impusieron han supuesto importantes costes para las compañías, en un entorno de crisis como el actual.
La gran novedad de este nuevo reglamento ha sido la inclusión de los documentos en formato papel a las obligaciones de la normativa de protección de datos. Una compañía, como puede ser una gestora de recursos humanos, una entidad financiera o cualquier organización del sector salud o sanitario, por definición, maneja grandes volúmenes de datos personales sensibles, y la gran mayoría de ellos, en papel. Este año, las empresas han invertido cientos de miles de euros en externalizar servicios de gestión, almacenamiento y custodia de información en papel o en proyectos de digitalización de expedientes históricos que ocupaban habitaciones de muchos metros cuadrados. No hay que olvidar además que todas las obligaciones legales se han visto y se verán incrementadas aún más en la gestión de datos de menores de 14 años, donde las compañías deben asegurarse de obtener el conse asegurarse de obtener el consentimiento de los padres o tutores para poder gestionarlos.
Las empresas deberán afrontar, además, nuevas medidas de seguridad que el nuevo reglamento establece necesarias cumplir desde el pasado domingo, como es la figura del encargado del tratamiento, que afecta a aquellas empresas que prestan servicios a otras y acceden a sus datos personales. A partir de ahora, dichas compañías tienen obligaciones adicionales que antes no tenían para las que deben de prepararse, como puede ser, por ejemplo, poner el documento de seguridad a disposición del cliente que se lo solicite, definir si los datos que maneja son de nivel medio y/o alto, o la obligación de realizar una auditoría.
Estas obligaciones, que velan por los derechos de protección de la intimidad de los individuos, implican a las empresas un gran coste de adaptación, ya no sólo por el impacto del marco legal, sino aún más por la implicación diaria en el propio proceso de negocio donde ahora deben establecer mayores controles, trámites, comprobaciones y en definitiva mayor tiempo y costes para hacer tareas que son necesarias para el éxito del negocio.
Y todo ello en un marco en el que las inspecciones por parte de las autoridades públicas españolas están en aumento con sanciones (acumulativas) desde 600 euros hasta 600.000 euros para aquellas empresas que comentan las infracciones más graves como puede ser cesión de datos no autorizados por la ley o por el afectado; incumplimientos relativos al tratamiento o cesión de datos especialmente protegidos (salud, afiliación sindical, ideología...), o el impedimento sistemático del ejercicio de los derechos del afectado.
En definitiva, un marco legal necesario para salvaguardar la intimidad de las personas, pero de los más estrictos a nivel europeo si lo comparamos con países como Francia, que no tiene contempladas sanciones en caso de incumplimiento.
Cristina Quesada García y Cayetana Vela Sánchez-Merlo. Gerente y asociada de Ernst & Young Abogados