LA ADAPTACIÓN DE LOS INADAPTADOS

Transcurrido más de medio año desde la entrada en vigor del Reglamento General europeo de Protección de Datos, son muchas las empresas y autónomos que no han adoptado las medidas oportunas para adaptarse al mismo y, lo que es peor, muchos creen que lo han hecho pero en realidad no ha sido así.


A través de la Directiva europea 95/46 se comenzó a dar relevancia a los datos de carácter personal a efectos de proteger la intimidad personal del ciudadano, en especial, en lo relativo a la obtención y uso de dichos datos por parte de empresas y profesionales.

Fue a través de la conocida Ley Orgánica de Protección de Datos (LOPD), y su reglamento, que se formalizó su transposición y con la intención de regularizar un ámbito que, derivado de la introducción y evolución de las nuevas tecnologías y comunicaciones, requería la atención del legislador a efectos de adaptarse a los nuevos tiempos.

UN BREVE REPASO

Como esta entrada no tiene por finalidad profundizar en las vicisitudes de la protección de datos, me limitaré a recordar que, tanto la  LOPD como su reglamento, establecieron una serie de pautas y exigencias tanto a empresas como autónomos a efectos de recabar, proteger y tratar los datos de carácter personal.

Todos recordaremos la obligatoriedad de elaborar un Documento de Seguridad, inscribir los ficheros de datos en la Agencia Española de Protección de Datos y, en algunos casos, la realización de auditorías internas, entre otras.

Lo que nos interesa remarcar, al respecto, es que mediante ambas normas jurídicas se establecía un detalle (más o menos específico) de las medidas y mecanismos que debíamos implementar. En otras palabras, nos indicaban los pasos necesarios para cumplir con la norma y evitar, de esta forma, importantes sanciones económicas y administrativas.

LA NUEVA REGULACIÓN EUROPEA

Sin embargo, la continua evolución de las nuevas tecnologías y la aplicación de las mismas en la sociedad han obligado a una actualización de dicha normativa europea, dando lugar a la aparición del famoso Reglamento General europeo de Protección de Datos (RGPD).

Este Reglamento, que ha originado la reciente transposición de su contenido en la nueva LOPD (que ha entrado en vigor el 7 de diciembre de 2018), introduce nuevas figuras y conceptos como es la ampliación de Derechos por parte del ciudadano o interesado, aumenta el importe de las sanciones y modifica las obligaciones de información y consentimiento a efectos de obtener datos de carácter personal, entre otras muchas cosas.

Vuelvo a reiterar que no es objeto de esta entrada realizar un análisis detallado de la nueva normativa, pero lo que sí me interesa remarcar es la variación espiritual de la norma ya que, si bien antes nos detallaba lo que debíamos hacer (aunque fuera en términos generales), ahora se limita a imponernos, de forma abstracta, que diseñemos e implementemos cuantas medidas sean oportunas a efectos de garantizar la protección de Derechos de los interesados, la integridad, calidad y protección de los datos personales obtenidos y tratados.

Esta premisa, tan generalizada, descansa principalmente en lo que se denomina el principio de responsabilidad proactiva, que viene ser algo así como “tú haz lo que consideres conveniente hacer para dar cumplimiento a los derechos de los ciudadanos y proteger su información personal pero, como haya un incidente, más te vale que las medidas implementadas hayan sido suficientes y adecuadas”.

Y es que no es la primera vez que vemos este comportamiento legislativo a la hora de regularizar un ámbito de las empresas. Tenemos políticas normativas similares en materia de prevención de riesgos laborales o, por ejemplo, en materia de responsabilidad penal de las personas jurídicas. De esta forma se descongestiona la labor reguladora a favor de que las empresas encarguen a profesionales cualificados y especializados el diseño e implantación de las medidas que sean necesarias para cumplir la norma establecida.

EL PROCESO DE ADAPTACIÓN

Pocos meses antes de la entrada en vigor del RGPD fueron muchas las empresas dedicadas a formación que advirtieron la existencia de un nicho de mercado, procediendo a ofrecer los servicios de adaptación a la nueva normativa.

Sin embargo, y aquí encontramos el principal problema conceptual (a mi modo de ver), ya no nos referimos en sí a una adaptación a una nueva normativa, sino a lo que literalmente conocemos como un “proceso de adaptación”. Es decir, no se trata que la gestoría de turno o la “empresa especializada” nos facilite una serie de documentos y papeles que procedemos a firmar (o hacer firmar a nuestros trabajadores) y, seguidamente, a almacenarlos en un cajón, sino a diseñar e implementar un conjunto de medidas efectivas que nos permitan prever y evitar incidentes y/o daños en materia de protección de datos.

Para ello se requiere, indisolublemente, la asistencia de un profesional especializado pero, además y quizás lo más importante, la participación del empresario. Porque, en definitiva, ¿quién conoce mejor los procedimientos llevados a cabo por la empresa, las funciones de cada trabajador o la mecánica y funcionamiento del negocio, que el propio empresario?

Derivado de lo anterior y como abogado que orienta sus servicios a empresas me encuentro que, en la actualidad, son muchas las medianas y pequeñas empresas que no se encuentran adaptadas a la normativa en materia de protección de datos pero, lo más preocupante, es que la gran mayoría no son conscientes de ello o creen que sí lo están.

No importa si has contratado a una empresa especializada, si tu gestoría de confianza de toda la vida ya “se ha encargado de ello”, o si te has empapado de guías bajadas de Internet. El proceso de adaptación requiere una auténtica implicación por parte del empresario, de forma que participe activamente en una auditoría interna e inicial de su actividad, que determine la mecánica del negocio en materia de protección de datos y que diseñe e implemente los mecanismos adecuados. Todo ello sin perjuicio de ser asesorado, guiado o asistido por un profesional en la materia.

ENTONCES, ¿SOY UN INADAPTADO?

La normativa en materia de protección de datos es especialmente compleja y, además, la nueva regulación normativa implica que el proceso de adaptación variará sustancialmente de una empresa a otra. Derivado de ello no pueden hacerse procesos de adaptación estándares, sino que deberán diseñarse de forma personalizada para cada ámbito o negocio incidiendo factores como el ámbito y tipo de actividad, cantidad de trabajadores que dispongamos, forma de desarrollar la actividad, tipo de clientes y demás factores específicos

Naturalmente esto nos conduce a descartar soluciones o servicios de “saldo”, a precios escandalosamente reventados o los conocidos como “low cost”; si queremos un servicio profesional  deberemos pagar su precio, como en todo, y dado el importe de las sanciones no es algo sobre lo que aconseje escatimar.

No obstante, y de un modo muy resumido, podemos afirmar que con el objeto de adaptar nuestro negocio a la actual normativa en materia de protección de datos deberíamos realizar, al menos,  los siguientes pasos:

1.- Analizar el ámbito en el que nuestra empresa desarrolla su actividad. La forma en que se contacta con los clientes, se publicitan y promocionan los servicios, la mecánica de contratación y venta de bienes o servicios, así como el servicio o contacto postventa.

2.- La infraestructura del negocio. La cantidad de trabajadores de que disponemos, centros de trabajo, áreas de trabajo y funciones de los diferentes trabajadores, etc.

3.- Identificar la mecánica de obtención, almacenamiento y tratamiento de los datos.

4.- Establecer un mapa de riesgos en materia de protección de datos.

5.- Diseñar las medidas protocolos de seguridad, obtención y tratamiento de datos.

6.- Formación a los trabajadores y evaluación de conocimientos.

7.- Elaboración de un Documento de Seguridad.

8.- Elaboración de formularios y adaptación de documentos de contacto con clientes y terceros.

 Si bien, como ya he señalado, cada proceso de adaptación es diferente y específico en función de diversos elementos y características de la empresa, si no tenemos la certeza que hemos realizado todos y cada uno de los pasos antes señalados existe la posibilidad que nuestro negocio no esté adaptado a la normativa vigente en materia de protección de datos.

Esto significa que, si ocurre algún incidente y se produce una denuncia por parte de algún cliente, además de la responsabilidad civil que pueda exigirnos, nos exponemos a que la autoridad de control competente nos sanciones con multas tan cuantiosas que puede suponer el cierre del negocio, así de simple.

PRECAUCIÓN, AMIGO CONDUCTOR

Como conclusión a todo lo expuesto, llegamos al mismo denominador común de los riesgos y problemas de las empresas; más vale prevenir, que curar.

En este sentido, el empresario debe (una vez más) tomar conciencia de la situación y necesidades de su negocio, conocer los riesgos y adoptar aquellas medidas que le permitan desarrollar su actividad desde una perspectiva de rendimiento económico y sostenibilidad.

Para ello puede y debe contar con la ayuda de profesionales especializados y apostar por un servicio, interno o externalizado, que esté a la altura de sus necesidades en los distintos aspectos de su actividad. Aunque sobre ello, ya hablaré en otra entrada.

Desde nuestro despacho de abogados, especializado en empresas, ofrecemos un servicio de adaptación en materia de protección de datos personalizado para cada negocio y actividad, ajustado a las necesidades y posibilidades de cada empresa. Puede solicitar información sin compromiso utilizando nuestro formulario de contacto.

Posted in Derecho Bancario and tagged , , , , .