_
_
_
_

El poli bueno que cuida los datos de los clientes, ¿obligatorio para todos?

La norma no aclara en qué casos es imperativo contar con esta figura Conviene evaluar riesgos de fuga y consultar Facilita, guía informática de la AEPD

Getty Images

La Unión Europea quiere que las empresas contraten una especie de poli bueno que garantice el cumplimiento del Reglamento General de Protección de Datos (RGPD). Pero, a menos de 10 días de la entrada en vigor efectiva de la norma, muchas pymes y autónomos no tienen claro si están sujetos a esta obligación, dónde podrán encontrar profesionales que cumplan este rol y si podrán pagarlo.

El delegado de protección de datos deberá actuar con independencia y ser especialista en leyes, aunque no necesariamente un abogado. Además, podrá ser interno o externo a la compañía que supervisa, así como una persona física o jurídica.

No todas las pymes están obligadas a contar con él, sino únicamente las que tratan cantidades masivas de datos sensibles. Dentro de este último concepto caben las creencias religiosas, opiniones políticas, la salud, orientación sexual, el origen étnico o racial, los antecedentes penales y datos genéticos o biométricos. Lo que el reglamento no precisa es a partir de qué volumen se considera que una empresa está manejando datos a gran escala.

Un médico o un abogado que tengan una consulta o despacho unipersonal en el que guardan ficheros de 100 clientes, por ejemplo, ¿debería contratar un delegado? “La norma no habla de 100 o 250 clientes, lo deja a la interpretación de cada quien. En el caso de un hospital, por ejemplo, donde el volumen de entrada y salida de pacientes es muy grande, queda claro que sí es obligatorio”, explica Belén Pose, experta de la compañía de defensa jurídica Arag.

La duda es a partir de qué volumen se considera que una empresa realiza tratamiento masivo de ficheros

El proyecto de la nueva ley de protección de datos que el Gobierno está tramitando en el Parlamento para actualizar la vigente de 1999 tampoco aclara este tema, aunque sí incluye un listado de actividades sujetas a la obligación de nombrar un delegado. Entre ellas figuran las aseguradoras, las casas de apuestas online, las agencias de publicidad y las firmas que realizan análisis de mercado.

De cualquier modo, aunque por su actividad no estén obligadas a contratar un delegado, Pose recomienda a las pymes hacerlo voluntariamente, “porque es una figura que ayudará a llevar la relación en esta materia con los clientes y la AEPD (Agencia Española de Protección de Datos)”.

Monkeys, agencia de comunicación que entre su propia base de datos y las de sus clientes gestiona información de medio millón de usuarios, ha designado a una empleada de los seis que tiene en plantilla para desempeñar esta función. “En realidad solo le hemos puesto nombre al cargo porque ya llevábamos tiempo haciéndolo”, comenta Luis Tusell, director de la agencia, que lleva dos meses preparándose para la entrada en vigor de la RGPD.

Hasta el momento, 1.348 empresas (261 privadas y 1.087 públicas) han comunicado a la AEPD el nombramiento del delegado. Ruth Benito, experta de la consultora Elzaburu, señala que no existe ningún tipo de baremo sobre lo que puede costar, en términos de salario u honorarios, esta figura, ya que dependerá de varios factores.

Las cifras

20 millones de euros o el 4% de la facturación mundial es la multa por incumplir el reglamento europeo.

1,2 millones de empresas todavía no están listas para la aplicación de la norma, de acuerdo con Arag.

“Además, hay que considerar la posibilidad que ofrece el propio reglamento de nombrar a un solo delegado para varias empresas, lo que puede darse cuando lo nombra una asociación profesional u organismo de representación”, abunda.

En el caso de startups que desarrollan aplicaciones móviles, Pose, de Arag, aclara que el número de tarjeta bancaria no se considera dato sensible y, por lo tanto, estarían exentas de tener delegado. Sin embargo, el reglamento sí las obliga a realizar un análisis de riesgo de fuga o ataque informático, y a tomar medidas de seguridad para proteger esos ficheros.

En ese sentido, tanto las expertas consultadas como la AEPD recomiendan a las pymes consultar la herramienta Facilita, disponible en la web de la agencia, para constatar si están obligadas y, de estarlo, obtener los documentos necesarios para cumplir el reglamento.

Getty Images

Criterios a tener en cuenta

Desde la AEPD, confirman que, en efecto, el RGPD no define gran escala, aunque el considerando 91 ofrece una orientación. En cualquier caso, indican que el grupo de Autoridades Europeas de Protección de Datos recomienda tener en cuenta los siguientes factores a la hora de determinar si el tratamiento es masivo o no: el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos distintos que se procesan, la duración o permanencia de la actividad y su alcance geográfico.

Para mayor información, la agencia española recomienda consultar las directrices del grupo de Autoridades Europeas de Protección de Datos, que incluyen ejemplos concretos.

Cambios y costes

Plazos. El Reglamento General de Protección de Datos (RGPD) se aprobó en mayo de 2016, pero el Gobierno dio a las empresas un plazo de dos años para que se adecuaran a la norma. Este vence el viernes 25 de mayo.

Lo nuevo. El cambio fundamental es que cualquier empresa que maneje datos de ciudadanos de la UE, aunque tenga su sede fuera de ella, deberá contar con el consentimiento expreso de los mismos.

Sanciones. A pocos días de su aplicación, más de 1,2 millones de empresas españolas siguen sin haberse adecuado a la norma, según cálculos de Arag. A nivel europeo, no están listas el 67% de las compañías, de acuerdo con una encuesta de NetApp. Se exponen así a multas de 20 millones de euros o el 4% de su facturación mundial si la infracción es muy grave. La sanción máxima actual es de 600.000 euros.  

Coste. En base a estudios internacionales, Gregory Voss, profesor de Derecho de Toulouse Business School, estima entre 470.000 y más de tres millones de euros la inversión que debe realizar una pyme para adaptarse al RGPD. “En cualquier caso, el gasto será menor que las posibles multas por incumplimiento”, advierte.

Opciones. Sistel, consultora tecnológica con sede en Alicante, acaba de firmar un acuerdo con Google para ofrecer los paquetes de servicios empresariales Google Cloud y Google Suite que, por el pago de 4, 8 o 23 euros mensuales, facilitan el cumplimiento de la RGPD.

Archivado En

_
_