TWL

Recordarán nuestros lectores que hace unas semanas la Agencia Española de Protección de Datos (AEPD) impuso una fuerte sanción a Google por una infracción grave al constatar que recogió y almacenó datos personales transmitidos a través de redes wifi abiertas, sin que los afectados tuviesen conocimiento y sin el consentimiento de los mismos.

El derecho a la protección de datos personales es un tema sensible a escala global y así lo entendió la Unión Europea al promulgar el Reglamento Europeo de Protección de Datos (RGPD), que entró en vigor en mayo de 2016 y que comenzará a aplicarse el próximo 25 de mayo de 2018. Se trata de una de las normas más importantes de la legislación europea por su transversalidad y que afecta básicamente a los deberes de información y materia de prevención.

Una mayor protección a los ciudadanos europeos, reforzando el consentimiento explícito del usuario al tratamiento de datos, el derecho al olvido y a la portabilidad de datos (posibilidad de recuperar datos cedidos en determinadas circunstancias).

Para nuestros lectores empresarios, el nuevo reglamento implica la llamada responsabilidad proactiva de las empresas (y de sus directivos y encargados del tratamiento de datos). Las empresas deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los derechos, principios y garantías que este reglamento establece.

Y estas medidas se han de tomar de forma proactiva, es decir, antes de que se produzca la infracción. Para ello es necesario implementar un programa estructurado de acuerdo con las normas reglamentarias que incluya una batería completa de acciones, entre las que podemos destacar: análisis de las fuentes; evaluación del impacto sobre protección de datos; adaptar los procedimientos para garantizar las peticiones de información; gestión de riesgos, de incidencias, de seguridad y recuperación de la información; prevenir la fuga de información (control de acceso a la información, cifrado de datos, etc.); nombramiento de un delegado de Protección de Datos, etc.

Una pieza clave del nuevo RGPD es el consentimiento que ha de ser expreso, libre, informado, específico, inequívoco y verificable. Desaparece, por lo tanto, la práctica actual del consentimiento tácito.

También es de destacar el endurecimiento de las sanciones en caso de incumplimiento, pudiendo estas llegar, en el caso extremo, hasta el 4% de la facturación anual o 20 millones de euros.

Amigo empresario, desde la UE se establecen nuevos requisitos que las empresas deberán cumplir, adoptando medidas de prevención de forma que puedan demostrar que están en condiciones de cumplir las normas reglamentarias. Comenzarán a aplicarse a partir del 28 de mayo próximo, pero nuestro consejo es que no espere el último día ya que su implementación necesita de sus tiempos para la correcta evaluación y ejecución.