Aunque el Reglamento General de Protección de Datos (RGPD) entró en vigor el pasado 25 de mayo de 2016, hoy ha comenzado su plena aplicación, por lo que se termina el plazo que han tenido todas las organizaciones para adaptar sus políticas y organigramas a esta nueva realidad. Día D para todas aquellas empresas que en su día a día gestionen datos de ciudadanos europeos. A partir de este viernes rige el nuevo Reglamento General de Protección de Datos (RGPD). Un cambio legal que busca proteger aún más al usuario y que abre la puerta a fuertes sanciones por incumplimientos.
La empresa española no escapa. Con los deberes a medias en muchos casos, los expertos llaman a aprovechar la ocasión, y en lugar de verlo como un imperativo legal afrontarlo como una oportunidad de estrechar la relación y confianza con el cliente. Se es positivo, pero algunas no llegan a la fecha preparadas.
Entre los grandes cambios, las compañías deberán contar con el consentimiento explícito de los usuarios para el uso de sus datos; aclarar qué información tienen, dónde, por cuanto tiempo, quién la usa y para qué; cumplir con el derecho al olvido; y nombrar a un delegado de datos que velará por el cumplimiento de la normativa.
La transición puede resultar suave. La Ley Orgánica de Protección de Datos (LOPD) que se venía aplicando tiene en España una de sus aplicaciones “más restrictivas” en Europa. “Es un punto de partida bueno”, cree Carmen Dufur, directora de estrategia de ciberseguridad en Capgemini España. “No hay que alarmarse”, dice sobre las que aún tienen tareas pendientes, si bien reconoce que a algunas empresas “se les ha echado el tiempo encima”.
En esa carrera contra el reloj las grandes juegan con la ventaja equipos más amplios y más capacidad de inversión. La adaptación puede ser un poco más complicada en las pymes, el grueso del tejido empresarial español. “No siempre es fácil, no tienen los mismos presupuestos”, plantea Mònica Vilasau, profesora de derecho civil de la UOC.
Las empresas enfrentan dos grandes desafíos. El primero es la tecnológica, por la necesidad de identificar y ordenar los datos. El segundo es algo cultural, entendiendo la necesidad de potenciar la confianza en la relación con el cliente. “Comienza una nueva etapa. Hay que ponerse las pilas”, sigue Vilasau.
Para algunas el plazo ya será tarea imposible. Hasta un 85% de las empresas europeas consultadas necesitarán al menos tres meses más para cumplir totalmente la normativa, según el estudio ‘Seizing the GDPR Advantage’ elaborado a nivel continental por Capgemini. En los casos extremos, el 6% necesitará un año y el 3% año y medio. “Un buen número de empresas han intensificado en los últimos meses sus esfuerzos para adecuarse al nuevo reglamento, pero, aun así, para muchas de ellas la aplicación del nuevo reglamento suscita dudas y la incertidumbre de si realmente están preparadas”, advierte Jesús Martrat, socio del área de privacidad de Rousaud Costas Duran.
Las sanciones por incumplimiento serán de hasta 20 millones de euros o el 4% de la facturación de la empresa si supera esa cantidad. Asociaciones de pymes (UEAPME, Hotrec) y cámaras de comercio (Eurochambres) pidieron hace un par de semanas un periodo de gracia de un año en la aplicación de multas. “Todavía queda mucho por hacer y quedan muchas preguntas sin respuesta. En muchos estados miembros se ha adoptado la legislación nacional pertinente y el material de guía se ha hecho público hace poco”, decían en su carta a Vera Jourová, comisaria europea de Justicia, Consumidores e Igualdad de Género. Dudas como “hasta qué punto el interés legítimo es base suficiente para que las empresas utilicen datos personales para realizar promoción, o qué se considera prueba suficiente de un consentimiento otorgado online mediante un click”, dice en este sentido Martrat.
Siguiendo el estudio de Capgemini, España sería por detrás de Reino Unido el país europeo mejor preparado, ya que el 54% de sus empresas cumplen en gran parte o totalmente la normativa. Más allá del temor de las sanciones, entrará en juego la confianza del cliente. La nueva normativa pone la transparencia como uno de los elementos clave: el usuario debe saber qué se hace con sus datos y tener la posibilidad de que se dejen de utilizar. Y le da más poder de tomar medidas si ve que hay actuaciones fuera de reglamento. Adaptarse resulta capital: “El consumidor cada vez da más importancia a las políticas de privacidad y seguridad… Y más dispuesto a comprar o interactuar con una empresa en la que confía”. Las empresas que no cumplan pueden perder ventas.
Esto es especialmente notorio en España, donde el 62% de los consumidores ponen un alto grado de confianza en las empresas, el mayor ratio de Europa. “La RGPD tiene puntos muy positivos que profundizan la relación con los consumidores. Aporta transparencia, tanto en caso de brecha de datos como en su gestión”, abunda Dufur. Si hay fuga de datos, por ejemplo, las empresas deberán informar con todo detalle de lo que sucede o cómo se encara la situación.
Powered by WPeMatico