La tienda británica de videojuegos GameStation incluyó una novedosa cláusula en los términos y condiciones de compra de su página web: el derecho a reclamar el alma inmortal de sus clientes. En efecto, en el April Fools' Day de 2010, la jornada reservada a gastar toda clase de bromas en los países anglosajones, 7.500 personas compraron artículos en esta compañía a través de su canal online. Cinco meses más tarde, tal y como estaba especificado en el citado portal, los compradores recibieron la notificación que les informaba que habían renunciado voluntariamente a su espíritu y que, a partir de ese momento, pasaba a estar dominado por los responsables de la tienda.
Este rocambolesco caso ilustra, de forma exagerada, como algunas pymes adquieren y utilizan la información de sus clientes, con el consentimiento de estos mediante un texto complicado que aceptan con un click. Sin embargo, a partir del 25 de mayo de 2018, con la aplicación del nuevo Reglamento europeo de protección de datos, los negocios deben cambiar la manera de gestionar las operaciones que hagan con ellos.
• Claridad. "La novedad es que el nuevo reglamento obliga a las compañías a proporcionar más información a los interesados y, además, presentarla de un modo más claro, inteligible, sencillo y conciso", explica Rafael García Gonzalo, jefe del área internacional de la Agencia Española de Protección de Datos, la AEPD. Se trata de evitar casos como el de GameStation, es decir, huir de cláusulas informativas que nadie lee bien por ser muy largas o bien por estar escritas con conceptos complejos difíciles de comprender, y que los usuarios sean conscientes de cómo sus datos van a ser utilizados por las compañías cuando lo consientan. En este sentido, desde la AEDP, recomiendan proporcionar la información en capas. "Primero, se deben presentar los datos más relevantes para el usuario, de forma esquemática y en tablas similares a las de los valores nutricionales de los alimentos. Tras la primera capa, mostrar las sucesivas con información más específica", comenta García.
• Gestión del dato. Otro de los cambios que incorpora la nueva legislación es la forma en la que se tratan los datos: "Se eliminan los ficheros en los que se rellenaban campos preestablecidos con la información de clientes, proveedores, materiales, etcétera. Ahora, hay que desgranar qué hace cada persona y cómo los utiliza, es decir, registrar cómo se trata la información o cuánto tiempo se almacena", afirma Jesús Yáñez, socio de Écija. Para que esta medida no suponga un gran impacto para las pymes, García recomienda que partiendo de los datos que manejan en sus ficheros, "enumeren los fines a los que se dirigen y redacten sus vínculos y cruces entre ellos".
• Medidas de seguridad. Los gestores de las entidades deben valorar si realizan o no tratamientos de alto riesgo, como lo serían los datos sobre opiniones políticas o religiosas, de orientación sexual, o sanitarios. Además, en esta categoría también se incluyen otros como los financieros, en las transacciones internacionales, o bien si las pymes realizan un tratamiento masivo. Evaluado el riesgo, el negocio asume la responsabilidad de incorporar las medidas de seguridad oportunas. "Antes se especificaban cuáles eran, pero no con el nuevo reglamento", apunta Yáñez. Así, la información cifrada, las copias de seguridad o la renovación periódica de las contraseñas son prevenciones técnicas simples pero que conviene recordar. Otras medidas de tipo organizativo pueden ser controlar quién accede a los datos, en qué momento, o no permitir que salga un soporte de la organización, como un pendrive, sin cifrar.
• Contratos. La relación entre el responsable de la compañía y el encargado del tratamiento debe estar explicada en el contrato de prestación de servicios. La novedad se da en que si existe cualquier filtrado de información, las autoridades harán responsables del fallo a las dos partes. En este sentido, las pymes deben asegurarse de que sus responsables están bien cualificados para evitar asumir futuras multas.
Adaptarlo a la cultura empresarial
"El nuevo Reglamento es una oportunidad para que las empresas se tomen en serio la privacidad, la seguridad y sobre todo, la cultura empresarial hacia la información que manejan", señala Antonio Quevedo, director general de Audisec, una compañía especializada en la prestación de servicios de gestión. Además, admite que ven esta medida como una oportunidad de mercado.
"Estamos trabajando con nuestros clientes en la adaptación a lo que ya conocemos del Reglamento", afirma Quevedo. En este sentido, la legislación prevé la incorporación de la figura del delegado de protección de datos, que velará por el cumplimiento del Reglamento, y puede ser alguien de la plantilla de una compañía o cumplir su labor como un servicio externalizado. "Muchas pymes optarán por lo segundo, ya que no tratan datos de alto riesgo pero tendrán que apostar por una entidad de prestigio para cumplir con sus obligaciones", afirma Fernando Serrano, responsable de Acens, entidad proveedora de Audisec.
Nuevas obligaciones, plazos y sanciones
1. Brechas de seguridad. Antes de que el reglamento fuera de obligado cumplimiento, si una pyme sufría un ataque informático sólo conocían esta contingencia sus gestores. Ahora, se le obliga a informar a la AEPD en un plazo de 72 horas desde el fallo con un primer análisis de lo acontecido. Además, la compañía también debe informar a los posibles afectados por el fallo, por lo que entra en juego el prestigio de la compañía.
2. Limitación del tratamiento. Si un usuario pide que sus datos sean eliminados en el registro de una empresa, ésta dispone de un plazo de un mes para realizarlo, o de tres si justifica ante la autoridad que es información muy compleja. Pero está obligada a ir eliminando su tratamiento en los aspectos que sean más relevantes para el usuario.
3. Sanciones. Las multas por incumplir el reglamento se elevan hasta los 20 millones de euros o el 4% de su facturación anual, la cuantía que resulte más elevada.
FUENTE: EXPANSION