«El RGPD es complejo y las pymes necesitan asesoramiento»
23 de diciembre de 2018
«El RGPD es complejo y las pymes necesitan asesoramiento»
Mucho se ha hablado de que las empresas deben hacer frente a una regulación excesiva. Algunas de estas normas seguramente sean innecesarias, pero otras resultan fundamentales e intentan que las compañías se adapten a nuevas circunstancias. El Reglamento General de Protección de Datos (RGPD), en este sentido, viene a poner límites al uso que las empresas hacen de los datos, que ya sin duda son el oro del siglo XXI. Por eso mismo y porque contienen material sensible, se deberían proteger bajo una regulación bastante exigente. Para discutir sobre ello, LA RAZÓN organizó el debate «Pymes y autónomos: retos legales y soluciones aseguradoras», con la participación de Paloma Arenas, directora general de E2K Global; José Luis Piñar, doctor en Derecho, catedrático de Derecho Administrativo, abogado y consultor experto en protección de datos; Carmen Peña, directora de la revista «PymeSeguros»; Montserrat Fraga, asesora jurídica interna de SOS Seguros y Reaseguros, así como el director Comercial y de Negocio de la misma empresa, Carlos Nadal.
El coloquio comenzó recordando que el pasado 21 de noviembre el Senado aprobó el proyecto de la Ley Orgánica de Protección de Datos. La normativa «adapta el Derecho español al Reglamento General de Protección de Datos (RGPD) europeo que será aplicable a todas las empresas que traten datos». Ya sean de clientes, de proveedores o de asociados. Por eso, a día de hoy, pocas se salvan de tener que cumplirlo.
No será sencillo, «la norma tiene cierta complejidad». Anteriormente, existían unos pasos bien marcados, como registrar los ficheros y realizar una auditoría cada dos años. Ahora se debe reconocer para qué son esos datos, por qué y para qué se poseen, qué se pretende hacer con ellos y a quién existe la posibilidad de cederlos. Para empezar, la compañía tendría que responder a todas estas preguntas ante la Agencia Española de Protección de Datos (AEPD), que será el órgano que vigile que la nueva regulación se cumpla. A partir de ahí, el marco jurídico es poco claro porque «dicta que cada uno tiene que hacer lo que considere con los datos según los riesgos que generan».
Implantación
Por lo tanto, no se podrá hacer un uso deliberado de los datos y, además, deberán estar protegidos lo máximo posible, ya estén acumulados en formato físico o digital. Tanto acostumbrarse a tratarlos con más cuidado y aplicar las herramientas adecuadas llevará su tiempo. Arenas admitió que «es difícil de implantar en los sistemas de trabajo, por eso las pymes y autónomos necesitan asesoramiento jurídico».
Por unas pequeñas tasas, afirmó Nadal, se puede acceder a ese tipo de servicio, al contrario de lo que normalmente se pensaba: «Una empresa de unos 20 empleados, por ejemplo, puede tener el asesoramiento jurídico completo por entre 400 y 500 euros». Vale la pena cuando el disgusto que uno se puede llevar es mucho más costoso. Las multas por incumplimiento del RGPD pueden alcanzar los 20 millones de euros o el 4% del volumen global de la compañía. La sanción media que impone la AEPD es de 60.000 euros y con eso, aseguró Piñar, «ya hundes a cualquier pyme o autónomo».
E incurrir en un error que conlleve multa es bastante sencillo. La regulación establece que las brechas de seguridad deben ser comunicadas en, como mucho, 72 horas. No obstante, comentó Carmen Peña que resulta complicado hacerlo en ese plazo porque «casi todas las pymes tienen externalizadas sus bases de datos y, por lo tanto, no es seguro que alguien se dé cuenta del fallo a tiempo». En este sentido, Arenas manifestó que «no hay un sistema completamente seguro, existen riesgos que no se pueden evitar».
Pero se pueden mitigar, y el asesoramiento jurídico ayuda a conocer cómo reducir las consecuencias de la Ley en caso de que se cometa un fallo. Porque si la AEPD tiene que actuar contra una empresa, la mejor situación para ésta es demostrar que ha hecho todo lo posible por mantener los datos protegidos. «No es lo mismo que te roben con la puerta abierta que cerrada», dijo Arenas. Aunque de momento la Agencia se ha mostrado un poco benévola, sabiendo la dificultad de aplicar las normas en los primeros meses, poco a poco se irá endureciendo.
Potencial
Montserrat Fraga aseguró que cuando de verdad se imponga una norma millonaria por incumplir el Reglamento General de Protección de Datos en España, el resto de empresas será más conscientes el perjuicio que les puede acarrear a ellas. Entonces, el sector asegurador estará preparado para reaccionar. «Ya vemos un mercado potencial importante porque nos llegan consultas y necesidades sobre este tema, e irá creciendo según vaya actuando la Agencia», sostuvo Nadal.
No hay que tener en cuenta sólo las multas. Para Piñar, no proteger los datos debidamente supone «un riesgo reputacional muy grande». La caída de Facebook y de Cambridge Analytica son buena muestra de ello. Y es que la gente sabe que sus datos, a día de hoy, son oro para las empresas. Los pueden analizar y tomas decisiones en base a ellos para perfeccionar su negocio. A cambio, los consumidores sólo piden que cualquiera no pueda acceder a su información personal.
Si ya todos somos conscientes del valor que poseen los datos en la actualidad, las compañías aún no han aprendido del todo que «los datos que acumulan no son suyos sino de los titulares», aseguró Piñar. Tener esto claro es el primer paso para que una empresa no cometa el error de tratar los datos para una finalidad para la que no se ha dado el consentimiento, como cederlos a otra o emprender campañas comerciales con ellos.
A evitar
José Luis Piñar expuso un curioso caso de uso indiscreto de los datos y que puede acabar en sanción. Un hotel que envía una carta de fidelización a un cliente que se ve allí con un amante, y su pareja lo descubre al abrir el buzón. También recuerda que se debe evitar tener documentos a la vista en los despachos, como suele ocurrir, porque no se sabe quien puede verlos. Igualmente, no es recomendable llevar encima un «pendrive» con datos, porque siempre se puede perder. Además, Piñar recordó que «cada vez las personas despechadas ponen más denuncias, la competencia o empleados despedidos que saben que en su empresa se producen fallos de seguridad en torno a los datos».
En definitiva, las pymes y los autónomos tendrán que mantener los ojos bien abiertos para no cometer errores costosos.