Protección de datos personales: así se las arreglan las empresas con la RPGD

Han pasado ya unos cuantos meses desde que entrara en vigor el Reglamento General de Protección de Datos (RGPD), la

proteccion-de-datos-personales-ernesto-munoz

Han pasado ya unos cuantos meses desde que entrara en vigor el Reglamento General de Protección de Datos (RGPD), la normativa que venía a sustituir a la clásica LOPD – esto es, Ley Orgánica de Protección de Datos– y que afecta a todas aquellas compañías que disponen de datos de ciudadanos europeos. A partir del día 25 de mayo las bandejas de entrada de los usuarios se llenaron de mensajes corporativos que pedían con cierto sonrojo el permiso para almacenar y emplear sus datos personales tras la aplicación de la nueva norma.

Con las aguas regresando de nuevo a su cauce y el número de correos descendiendo, en IPMARK nos hemos preguntado cómo se han adaptado las grandes y pequeñas compañías al nuevo reglamento. Ernesto Muñoz, abogado de la firma especializada en protección de datos Picón y Asociados, arroja luz sobre la situación en la siguiente entrevista.

¿Qué dudas son las más recurrentes entre las empresas sobre la aplicación del RGPD? 

  El RGPD ha sido, según nuestra experiencia, una de las reformas legislativas que más ansiedad ha causado a las empresas. Según se iba aproximando el 25 de mayo ese nivel de ansiedad se fue incrementando exponencialmente. Pese a que la norma se aprobó en 2016, lo que implica que se ha dispuesto de un plazo de dos años para adaptarse a ella, la mayoría de las empresas no se han preparado con la suficiente antelación. Eso ha supuesto que se haya llegado a la fecha límite sin tener los deberes hechos.

Se han afrontado proyectos de implementación de la nueva norma con urgencia y sin la necesaria reflexión y preparación, con lo que, pese a dedicarse recursos a ello, en muchas ocasiones no se ha logrado el fin pretendido.

Tras esa vorágine inicial muchas empresas tendrán que volver a analizar con más calma los protocolos implantados para cumplir el RPGD, para ajustarlos o readaptarlos a su situación real.

¿A qué sectores les ha llevado mayor trabajo adaptarse? 

 En general ha habido mucho desconocimiento. Las publicaciones en los medios informando sobre el RGPD han generado una alarma importante al poner su acento más en la gravedad de las posibles multas que en otros aspectos igualmente relevantes. Todos los sectores se han visto afectados por esta situación.

En relación a las empresas de publicidad y marketing hemos observado bastantes dificultades. Y ello se ha debido a que a las dificultades propias de la adaptación a la nueva norma, se han sumado las exigencias que les han puesto sus clientes. Por imperativo legal, dichos clientes están obligados a asegurarse de que las empresas de marketing a las que facilitan sus bases de datos ofrecen garantías suficientes de que cumplen el RGPD, pero esta obligación se ha interpretado de manera excesivamente extensiva y rigurosa, de modo que a menudo se han impuesto a las empresas de marketing exigencias que van más allá de la RGPD. Sobre todo en relación con las medidas de seguridad que deben cumplir en el tratamiento de las bases de datos.

Sirva como ejemplo el hecho de que, para la realización de una simple campaña de email, se han impuesto en ocasiones las medidas de seguridad más elevadas que contemplan los estándares internacionales. Si bien tiene sentido en otros tratamiento de datos, para éste es excesivo.

¿Qué perfil está teniendo el delegado de protección de datos?

 La complejidad de la norma hace que, incluso en aquellas empresas en que, por su actividad, la figura del DPO no es obligatoria, es recomendable que exista un experto que desempeñe tareas de asesoramiento jurídico y supervisión del cumplimiento.

El perfil del DPO ha de ser eminentemente jurídico, puesto que estamos hablando de interpretar y aplicar una norma legal, que regula derechos fundamentales, que está repleta de conceptos jurídicos indeterminados y cuya aplicación requiere una profunda formación jurídica.

Ahora bien, un perfil exclusivamente jurídico no es suficiente. Es necesario que el abogado que desempeñe funciones de DPO reciba una formación integral complementaria en otros aspectos esenciales, como son ciertos conocimientos técnicos-informativos, de auditoría, del negocio, etc. En definitiva, un abogado con perfil multidisciplinar.

COMUNICACIONES INNECESARIAS Y CONTRAPRODUCENTES

¿Por qué los usuarios tuvimos que volver a dar nuestro consentimiento a las comunicaciones comerciales que ya estábamos suscritos? 

 Este ha sido uno de los errores más extendidos y graves que las empresas han cometido en el proceso de adaptación. Y se ha debido tanto a la precipitación que mencionábamos antes como a un deficiente asesoramiento jurídico.

La gran mayoría de esas comunicaciones eran, no solo innecesarias, sino contraproducentes. Para entender lo que ha sucedido debemos conocer las distintas situaciones en las que se hallaban las bases de datos de marketing de las empresas antes del RGPD.

Resumidamente, eran tres: las empresas que enviaban publicidad de sus productos o servicios a quienes ya eran sus clientes; aquellas empresas que enviaban publicidad a personas que no eran sus clientes, pero que habían prestado un consentimiento explícito para ello. Por ejemplo, marcando una casilla en un formulario. Y aquellas empresas que venían enviando publicidad a quienes no eran sus clientes, pero habían obtenido su consentimiento de forma tácita, no oponiéndose a dichos envíos.

Pues bien, la remisión de un correo electrónico solicitando el consentimiento para el envío de publicidad conforme al RGPD sólo tenía sentido en este tercer caso, no en los otros dos.

En el primero de ellos no procede la solicitud del consentimiento porque el envío de publicidad a clientes no se basa en el consentimiento, sino en la existencia de un interés legítimo que ampara al anunciante, siempre que el interesado no se oponga a ello. En el segundo, el envío del e-mail tampoco era necesario, puesto que el consentimiento obtenido de forma explícita ya se ajustaba a las exigencias del RGPD.

El e-mail solicitando consentimiento expreso sólo tiene sentido en el tercero de los casos, cuando el consentimiento del que se disponía con anterioridad era sólo tácito, lo cual, al no estar permitido por el RGPD, aconsejaba renovarlo y obtenerlo de forma expresa para poder seguir utilizando la base de datos.