El nuevo Reglamento General de Protección de Datos ya es una realidad. No entra en vigor hasta el año 2018 pero los expertos en Derecho Digital aconsejan a las empresas que empiecen a hacer los deberes para no llevarse un buen susto en un par de años.
Porque el nuevo reglamento contiene novedades que afectan a todas aquellas empresas que traten datos de carácter personal, desde la pequeña consulta de un dentista hasta una multinacional de cualquier sector. ¿Podemos concretar estas novedades? “Fundamentalmente se trata de un cambio de cultura, huyendo de formalismos y hacia una verdadera cultura de la privacidad de la protección de datos”, explica Paz Martín, directora del departamento de Derecho Digital de Herrero & Asociados. “Se traduce en un cumplimiento real de la transparencia en el tratamiento de datos. Cómo se recogen estos datos, qué se hace con ellos, para qué se utilizan y cuál va a ser su destino. Precisamente para evitar que el fenómeno del ‘big data’ sea utilizado sin el consentimiento y conocimiento de los interesados”, apunta Martín.
Está claro que si todos pensábamos que esta ‘transparencia’ y ‘protección’ en nuestros datos ya se hacía a día de hoy estábamos equivocados. De ahí el nuevo reglamento, que se endurece en cuestiones como el consentimiento tácito, las cláusulas de información o las evaluaciones de impacto, entre otras.
Llama la atención el consentimiento tácito porque, hasta ahora, según Martín, “el que se admite en algunos casos en nuestra legislación actual ya no va a servir, el nuevo reglamento se aleja de él y convierte este consentimiento en inequívoco, expreso, en un acción afirmativa y clara del usuario dando el consentimiento para que se haga el tratamiento de datos que la empresa también tendrá que especificar”. Esta es otra de las novedades: no es lo mismo que una empresa recoja nuestros datos para vendernos un producto que para construir una base de datos. “Esto el usuario lo tiene que saber. Todos somos consientes de que la gente en general no se lee los avisos legales pero va a ser muy difícil simplemente con eso demostrar que se está cumpliendo con esa nueva legislación”, asegura Martín.
Esta separación de finalidades y su inclusión en la web es una de las cosas que las empresas pueden empezar a crear en sus sites. También las cláusulas de información, esa primera barrera donde las empresas le están diciendo al usuario o, atención, al empleado, qué va a hacer exactamente con sus datos. Solo con cláusulas claras, podremos dar nuestro consentimiento inequívoco al uso de nuestros datos.
Antes, sin embargo, las compañías deberán realizar las llamadas evaluaciones de impacto. “La evaluación de impacto es un análisis previo, una especie de revisión o de auditoría antes de hacer cualquier tratamiento de datos en determinadas circunstancias o que afecten a una gran cantidad de datos o a unas categorías que el propio reglamento establece sobre qué impacto va a tener ese uso de datos en la privacidad del usuario que los cede”, cuenta Martín. Esta auditoría va a ser obligatoria a partir de 2018 y deberá ser comunicada a la autoridad de control, ahora, a la Agencia Española de Protección de Datos.
Gracias Paz por incidir en la importancia que supone el nuevo Reglamento por ver la Protección de Datos no como una obligación legal sino como un cambio para consolidar una verdadera cultura de privacidad en nuestro tejido empresarial.