La entrada en vigor del nuevo RGPD es ya inminente, dado que está prevista para el próximo 25 de mayo de 2018. Para esa fecha, todas las empresas, incluidas las del sector de la energía, deberán estar debidamente preparadas para cumplir sus prescripciones. Toma nota.
¿Cuáles son las principales exigencias del RGPD?
Para decirlo brevemente: lo que pretende la nueva normativa es potenciar los deberes y obligaciones de las compañías en materia de protección de los usuarios respecto al almacenamiento y tratamiento de sus datos personales.
Hemos de partir del hecho de que los datos personales son de la exclusiva pertenencia del usuario y nunca de la empresa o compañía a la que se ceden. Y tampoco son de los empleados encargados de tratar esa información.
Para empezar, en los contratos realizados con la compañía en cuestión, debe existir, obligatoriamente, una cláusula informativa, en la que se indique al usuario que los datos que facilite se van a incorporar a un fichero. Además, se le solicitará su consentimiento, para que tales datos puedan ser tratados.
Dicho tratamiento deberá hacerse siempre con una finalidad concreta y por un determinado tiempo. Asimismo, para la cesión de los datos a otra compañía o empresa, será siempre obligatorio el consentimiento.
Otra de las obligaciones impuestas por la nueva regulación es el deber de custodia de los datos: el almacenamiento de los datos deberá contar con las medidas de seguridad necesarias que garanticen su protección. Y esa seguridad no solo tendrá que garantizarse, sino que también habrá que demostrarla.
En todo caso, la compañía pondrá a disposición de los usuarios que han facilitado sus datos la posibilidad ejercer los derechos de acceso, rectificación, cancelación y oposición a su tratamiento.
La información del consumidor va a ser compartida con distribuidores, proveedores y generadores de energía. Para estos casos, el Reglamento obliga a la suscripción de un contrato de confidencialidad, con el fin de salvaguardar la protección de datos incluso por parte de terceros.
Por otra parte, el fichero de datos no puede nunca tener una vigencia ilimitada, sino que su contenido se tendrá que ir eliminando, a medida que los datos, cuya recogida se notificó, dejen de ser necesarios para la finalidad comunicada.
Por último, habrá empresas que deberán crear un registro de actividades de tratamiento de datos:
– Las que cuenten con una plantilla superior a 250 empleados.
– Las que realicen un tratamiento de datos que puedan suponer un riesgo para las libertades o los derechos de los usuarios o incluyan datos de una especial categoría.
– Las que manejen datos personales relacionados con infracciones o sanciones penales.
¿Cómo debe ser el consentimiento para la cesión de datos personales?
A partir de la entrada en vigor del RGPD, el consentimiento deberá ser siempre expreso. Ya no será suficiente el silencio, así que quien calla ya no otorga.
El consentimiento tácito o implícito en casillas premarcadas ya no será legal. Se deberá solicitar, expresamente, el consentimiento y el cliente deberá emitirlo de forma inequívocamente afirmativa, para que sea válido.
Además, tendrá que ser específico. Esto significa que, si son varios los propósitos de la recopilación de los datos, el consentimiento deberá ser individualizado para cada uno de ellos.
La información facilitada al usuario respecto a la solicitud de sus datos deberá ser siempre transparente. Perfectamente clara y comprensible. Es preciso informar tanto de la identidad del solicitante de los datos como de la finalidad que persigue dicha solicitud.
¿Las empresas de energía se verán especialmente afectadas?
En las empresas energéticas, la nueva regulación puede provocar una especial incidencia, dado que la incorporación de las nuevas tecnologías ha permitido la instalación de contadores inteligentes, para la medición más sencilla y segura de los consumos.
¿Las redes inteligentes atentan contra la seguridad en la protección de datos?
Es indudable que la rentabilidad del mercado energético se ha visto favorecida por la implantación de las redes inteligentes. Pero, a la vez, estos sistemas suponen un riesgo y desafío para el tratamiento de los datos personales.
La Comisión Europea ha elaborado orientaciones concretas para la protección de datos y las medidas de seguridad en los sistemas de medición inteligente. En ellas, ha previsto la elaboración de un modelo de evaluación del impacto producido en la protección de datos por estos nuevos sistemas de medida.
Los responsables de las empresas, en este ámbito, serán los encargados de revisar y supervisar las medidas de seguridad adoptadas a lo largo de toda la vida útil del sistema de medición.
¿La recarga de un vehículo eléctrico pone en riesgo los datos personales?
Los vehículos eléctricos van a estar conectados constantemente tanto a la red eléctrica como a las redes de datos y esto puede representar un riesgo para la seguridad de los datos, tanto personales como bancarios, de los usuarios.
Las compañías gestoras deberán asegurar la encriptación de estos datos y mejorar los protocolos de seguridad que utilizan los puntos de recarga.
¿Y el derecho al olvido?
Es otro de los regulados por la nueva legislación y se refiere al derecho que tiene todo usuario a que sus datos personales no permanezcan en poder de terceros contra su voluntad. Así, siempre va a poder modificar, cancelar o eliminar esos datos de los ficheros a los que se hubieran incorporado. Y las compañías deberán garantizarlo.
¿Qué es y qué implica la portabilidad de datos?
Complementario al de acceso, este derecho es otra de las novedades y obliga a facilitar al cliente los datos aportados, en un formato de lectura mecánica o fácil.
Además, implica que esos datos personales podrán transmitirse, directamente, entre empresas y sin necesidad de entregarlos previamente al usuario; de ser, técnicamente, posible.
¿Qué sanciones conlleva el incumplimiento?
El incumplimiento de las obligaciones impuestas por el Reglamento General de Protección de Datos puede dar lugar a sanciones de considerable cuantía: hasta un 4 % de la facturación anual o veinte millones de euros.
La gravedad de las sanciones y las consecuencias para el funcionamiento y la organización empresarial, aconsejan contar con el mejor asesoramiento en materia de RGPD.