El Reglamento Europeo de fecha 24/05/2016 preveía su entrada en vigor en todos los Estados miembros el pasado 25/05/2015.

En nuestro país, sin embargo falta su desarrollo estatal para concretar las medidas para la protección de datos y las sanciones que se aplicarán.

En principio, se trata de un Reglamento muy etéreo, que no concreta específicamente como tratar los datos, sino que se limita a hablar de “medidas adecuadas”. La cuestión es, ¿quién define la adecuación de estas medidas? No cabe duda que tenemos que ir a algún tipo de standard en el que ya se encuentren ciertas medidas aplicables, veáse, por ejemplo, la ISO27001.

Las sanciones previstas en el Reglamento que, insistimos, han de ser desarrolladas por el derecho estatal, dan verdadero pavor:

10.000.000 € o el 10% de la facturación anual, lo que sea más alto.

20.000.000 € o el 4% de la facturación anual, lo que sea más alto.

A pesar de que, por las cuantías parece que van dirigidas a las grandes empresas, su aplicación es para todo tipo de empresas. ¡Las nuestras también!

No debemos obviar que la Agencia Española de Protección de Datos no tiene partida presupuestaria propia, vive de las sanciones que aplica. En nuestra opinión, deberíamos tener una Agencia condiciones que no tuviera que preocuparse de las sanciones para sobrevivir.

Ya se observa la diferencia con algún país del Norte de Europa, que en su desarrollo estatal no prevé sanción alguna.

La intención real del Reglamento Europeo es ponerse más serio en cuanto al tratamiento de los datos, y para ello, los mayores cambios se establecen en las cláusulas de información, que son mucho más amplias de lo que eran anteriormente; y en la solicitud del consentimiento para el tratamiento de los datos, consentimiento que ha de ser expreso, en vez de consentimiento tácito.

Ejemplificando, cuando regía LOPD, en cuanto a contratos con proveedores, con tal de que dos personas se obligaran a cumplir el art. 12 de la LOPD, ya era suficiente. En este momento, hay que matizar más lo que hay que hacer, qué tipo de datos e información se va a utilizar, y qué tipos de medidas de seguridad específicos se van a emplear para el tratamiento de los datos.

En lo que se refiere a la tan traída y llevada PIA (siglas en inglés para PRIVATE IMPACT ASSESMENT) se trata de la evaluación de impacto sobre protección de datos, sobre todo en los casos en el que hay un alto riesgo de tratamiento de datos, muy sensibles, salud sobre todo. Es un asunto de vital relevancia y no sabemos todavía si hay situaciones en las que se ha de realizar evaluación de impacto o si estarían exentas. ¿En qué casos podríamos entenderlo? ¿En el caso de que sea una persona la que trata los datos (un médico)? ¿O, por el contrario, es por la cantidad de datos que podría tratar?

En lo que a nosotros, las PYMES, más directamente afecta la nueva regulación, es en la parte más complicada, ya que hemos de llevar a cabo un análisis de medidas de seguridad. La manera menos compleja de llevar a cabo esta situación, según los expertos, es tomar el bloque de medidas de seguridad que hay que aplicar y cruzarlo con la situación actual de la empresa, esto es, ir directamente a la medida aplicable. Por ejemplo, ¿existe un antivirus en nuestros sistemas informáticos? Sí. ¿Está actualizado? No. Ahí ya tenemos una medida a tomar

Y no debemos olvidar valorar si no hay una medida implementada: ¿cómo de problemática es? ¿Cuántas veces me va a pasar?

También hemos de adecuar nuestros formularios de derechos de información: acceso, rectificación, supresión, limitación, oposición (ejemplo, a la elaboración de perfiles comerciales), olvido y portabilidad.

El derecho al olvido es quizás el más llamativo ya que lo introduce el nuevo Reglamento. Antes, contábamos tan sólo con los archiconocidos derechos ARCO (acceso, rectificación, cancelación y oposición). Ahora, el derecho al olvido nace por el tratamiento de los datos en las webs. Por ejemplo, si salen tus datos en el B.O.P., y ya ha pasado el plazo de la notificación, ejerzo mi derecho al olvido frente al B.O.P., y ellos tienen que activar el protocolo para que sea imposible encontrar esos datos en la web. No podrían aparecer en ninguna búsqueda relacionada con tu nombre. Para encontrarlos, habría que ir al boletín concreto de la fecha concreta para encontrarte.

A los que esto coja por sorpresa, la buena noticia es que no hay que alarmarse más de lo necesario. Si ya contáis con un documento de seguridad conforme a LOPD, por el momento, la Agencia no pondría problemas si estás iniciando la adaptación (no la implementación, esto es, si no estás adecuado a LOPD).

Nuestro antiguo documento de seguridad valdría, porque se ve el recorrido de la empresa en cuanto a protección de datos y, en todo lo que no prevea el anteproyecto de Ley Orgánica (que no se parece en casi nada) serviría.

En nuestra zona de clientes encontraréis modelos standard por si os pueden resultar de utilidad.

¡Ánimo que esto hay que parirlo!