Hace más de una década empezaron a llegar a los consumidores notificaciones o publicidad de productos o servicios contratados que añadían al final la coletilla de que, si no me dice usted lo contrario, entiendo que puedo utilizar sus datos para otras comunicaciones comerciales de empresas del grupo o relacionadas. Decir lo contrario suponía entrar en un vericueto burocrático arcaico (carta, teléfono, fax, etc.) para dejar claro que no querías saber nada más de esa entidad, que muchas veces se desistía de hacerlo. Lo incomprensible era que no existía una justificación lógica o legal para que las empresas u organizaciones que introducían esa nota final en letra pequeña tuvieran derecho a manipular tus datos de esa manera. Era pura indefensión, cuando lo lógico es que la gente tuviera derecho a que le dejen en paz (mis datos son míos), por encima de toda acción comercial o de marketing barato.
Desde entonces hasta ahora, ha evolucionado mucho la normativa y las comunicaciones comerciales o administrativas, que ya no son tanto de buzoneo sino completamente digitales, y en las que la letra pequeña actual que se pone antes del clic de “acepto”, todavía se lee peor. Ese tipo de situaciones de cierta desproteción ciudadana, entre otras cosas, es lo que viene a atajar el nuevo Reglamento General de Protección de Datos (RGPD), que todas las empresas deben tener adaptado en sus sistemas y organizaciones antes del 25 de mayo próximo. La obligación surgió hace ya casi dos años y las adaptaciones que hay que llevar a cabo son importantes y sensibles (además de costosas), aunque está siendo en esta recta final de tres meses que quedan cuando todo el mundo está acelerando, a veces sin saber cómo ni por qué.
No se puede desdeñar la importancia de la nueva normativa, igual para todos en la UE, que consagra los derechos a conocer, rectificar, suprimir o manejar tus propios datos en los registros en que se encuentren. Es lo que, por el momento, se entiende como derecho al olvido, la opción de que los datos de alguien puedan ser suprimidos cuando ya no sirvan para la finalidad que fueron recogidos, o simplemente porque no se tiene el consentimiento de su titular para utilizarlos o se hayan logrado de forma ilícita. El desarrollo jurisprudencial de tal derecho permite incluso solicitar el bloqueo en las listas de buscadores como Google de los enlaces que conduzcan a informaciones que se consideren falsas o no tengan interés público, si bien siempre habrá que demostrarlo y pleitear por ello. A pesar de que han pasado décadas para llegar a este punto, quienes se pongan ahora a adaptar sus organizaciones a la nueva situación deben pensar también que esto no hecho más que empezar, y que el derecho que la gente tiene a que la dejen en paz (al olvido) puede ir mucho más lejos y afectar, en el fondo y en la forma, a muchas otras áreas de la actividad personal y profesional.
Pero como buenos españoles, todo lo importante lo vamos dejando siempre para el final. Uno de los expertos que lleva más tiempo dentro de todo este proceso admitía esta semana que en las grandes corporaciones, se han adelantado bien con recursos y medios dedicados a adaptar la normativa a la nueva situación. En las sociedades que manejan amplios registros de datos personales (operadoras de telecomunicaciones, centros comerciales, bancos, administraciones, etc.) este proceso supone crear una verdadera estructura dentro de la sociedad, con obligación incluso de crear la figura del Data Protection Officer, disponible y con todo a punto para responder a las demandas de cada persona que se lo solicite y, por supuesto, de las inspecciones o denuncias que tenga que afrontar.
Pensemos solo en el caso del consentimiento para usar los datos personales de alguien. La norma establece que ya no vale como aceptación el silencio o la inacción de los ciudadanos, sino que la empresa debe tener el reconocimiento “libre, informado, específico e inequívoco”. ¿Tendrán Telefónica, Vodafone, el Santander o el BBVA ese tipo de consentimiento otorgado de forma explícita por sus clientes, sobre todo por los más antiguos? Por poner unos ejemplos básicos, pero la cuestión puede ser leonina en todo tipo de empresas.
Porque otra cosa son las pymes, que en la mayor parte de los casos (un 60% según estimaciones de expertos) lo están pensando, pero todavía no se han puesto a hacer nada para tener adaptado el RGPD el 25 de mayo próximo. El problema es que al día siguiente de expirar esa fecha, les puede llegar una inspección con ganas de dar ejemplo a todos en el sector que, tras serios apercibimientos y advertencias, les imponga una multa realmente dura: hasta 20 millones de euros o el 4% de la facturación anual, la cantidad que resulte más alta de las dos. La Agencia Española de Protección de Datos (AEPD) ha dicho que aplicará la norma con “rigor y flexibilidad”. Veremos. Mejor no arriesgarse.
Es cierto que al amparo de esta adaptación han surgido cientos de agencias, consultores y brokers todos ellos supuestos expertos y capaces de ‘vender’ a cualquiera el proyecto perfecto para cumplir con el RGPD. Seguro que son buenas opciones para muchas compañías que no pueden pagarse el asesoramiento de los grandes bufetes de abogados, pero siempre hay que andar con cuidado y no infravalorar lo que se tiene entre manos, que es la aplicación de un derecho fundamental en el seno de la empresa. Los jueces lo van a tener muy claro en caso de conflicto.
Un buen asesoramiento debe conllevar siempre el mejor diagnóstico previo posible, y eso es algo que solo quienes conocen la norma desde sus orígenes (incluso desde Bruselas) son capaces de hacer mejor. A partir del diagnóstico vendrá todo lo demás y se podrán definir las bases legales a incluir en todas las notificaciones, webs y acciones con datos personales (la letra pequeña y los avisos de antes del “acepto”), los posibles desarrollos que haya que hacer o las estrategias básicas para tener todo limpio y transparente. Y así, no molestar a la gente a la hora de la siesta un fin de semana con una oferta comercial absurda, sin tener derecho a ello y vulnerando la ley. Eso duele.
FERNANDO PASTOR
Por gentileza de:
_______________________________________________________________________________
Recomendamos a nuestros lectores leer el siguiente link ( de este mismo blog) publicado el 5 de febrero de 2018 por Emiliano Vazquez Bermejo, director de:
http://pedrorubiodominguez.blogspot.com.es/2018/02/adaptacion-implantacion-de-la-empresas.html
________________________________________________________________________________
________________________________________________________________________________
No hay comentarios:
Publicar un comentario