A partir del próximo 25 de mayo de 2018, habrás de prestar mucha más atención a los requerimientos de la AEPD, las siglas con las que se conoce a la Agencia Española de Protección de Datos.
En la legislación española, a día de hoy está vigente la LOPD o Ley Orgánica de Protección de Datos, que protege nuestros datos personales. Desde hace un tiempo, hay que ajustarla al Reglamento General de Protección de Datos o, en siglas, RGPD; que está en funcionamiento desde abril de 2016, pero no será de aplicación obligatoria hasta mayo de 2018. Los Estados que forman parte de la Unión Europea han tenido dos años para adaptarse a esta nueva norma, pero este plazo acaba dentro de unos meses. Las sociedades (en su gran mayoría, pymes, que son los tipos de empresa que más abundan en España) deben informar de todos los datos personales de los que disponen a la AEPD, sin tener en cuenta cómo se han conseguido.
Para controlar que todos estos datos son facilitados de manera correcta, cada empresa se expone a que le realicen de manera más frecuente que ahora más de una auditoría de protección de datos. Se trata de comprobar que las empresas, realmente, informan de los datos de los que disponen y los utilizan correctamente.
Según el nuevo Reglamento, en su artículo 44.3i, toda empresa que no atienda los requerimientos de la AEPD, no entregue los documentos que esta solicita en el plazo que se establezca o dificulte su trabajo se enfrenta a una penalización; ya que, si una empresa no ayuda a la AEPD, incumple la ley y se le aplica una penalización grave.
En el caso de una empresa que no cumpla con los requerimientos que se le piden, la multa más baja podría llegar a ser del 2 % de volumen de negocio total del ejercicio financiero del año anterior o de diez millones de euros, hasta un máximo del 4 % del volumen de negocio total del ejercicio financiero del año anterior o veinte millones de euros. Se tiene en cuenta la cantidad que salga más alta, es decir, la que represente una pérdida económica más alta para la empresa.
Requerimientos de la AEPD más comunes y sus soluciones: auditoría de protección de datos
Dado el alto importe de las multas, las primeras interesadas en cumplir con las solicitudes de la AEPD respecto al nuevo Reglamento son las empresas. Entre las más habituales, que se pueden dar durante una auditoría de protección de datos, por ejemplo, estarían las siguientes:
– Gestionar la modificación de ficheros notificados de manera incorrecta.
– Solicitar un justificante si una consultora está enviando los ficheros de datos en nombre de una empresa.
– Si hay una brecha en la seguridad y la empresa la ha denunciado anteriormente, la AEPD puede solicitar un justificante relativo a cómo se ha solucionado el problema.
Estos requerimientos se pueden solucionar de manera bastante sencilla:
– Corrigiendo los datos incorrectos y enviando de nuevo el fichero.
– Enviando la documentación, directamente, a la AEPD, ya sea por correo postal o a través del registro público.
– Enviando toda la documentación que se ha solicitado por Internet, a través de la sede electrónica de la Agencia Estatal de Protección de Datos.
Para hacer más fáciles todos estos procesos, se ha puesto en marcha Facilita RGPD, que pretende promover el cumplimiento de esta normativa. Es una herramienta fácil de usar y gratuita. Está orientada a empresas que dispongan de datos considerados como de bajo riesgo: datos personales de proveedores, clientes, trabajadores… Si son de alto riesgo, no se puede usar. Asimismo, la agencia dispone de otras herramientas que toda empresa puede usar para cumplir con la legalidad en estos casos.
La legalidad en Internet (LOPD, LSSI…)
Las páginas web también recogen datos y estos deben ser debidamente informados también a la AEPD. En el caso de que un negocio realice su función a través de una o varias páginas web, estas se ven sujetas a toda una serie de condiciones legales. No solo basta con colgarlas y empezar a operar, sobre todo, si este negocio tiene como objetivo la venta online de productos.
En Internet también hay que aplicar el RGPD, es decir, que cada negocio que opere en la Red debe facilitar los datos recogidos a la agencia reguladora. La diferencia entre los datos que se recogen en una tienda de calle, por ejemplo, y los que se recogen a través de una tienda online es que, aparte de disponer de la dirección física del usuario, como hacemos uso de un ordenador, la tienda registra la IP, es decir, la dirección electrónica desde la que se hace la compra, algo que se va a controlar estrictamente ahora, igual que las cookies. Evidentemente, el usuario debe haber dado su consentimiento para el tratamiento de sus datos y, si uno considera que la empresa a la que compra no está haciendo buen uso de ellos, puede denunciarla con mucha más facilidad que antes.
Existe también una ley específica para regular las actividades comerciales en la Red llamada Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (en siglas, LSSI), que también debe ser valorada.
Protección de datos en todas partes
Esta ley no opera solo a nivel español, sino también a nivel europeo. Es decir, si la tienda en la que compramos está en otro país de la Unión Europea o Reino Unido (a pesar de la situación actual, se han unido a esta normativa), debe cumplir estas normas; y, si no es así, como usuarios, podemos denunciarla, aunque no se encuentre en España. También desde la UE se está intentando que esta legislación se cumpla cuando empresas extracomunitarias vendan productos a ciudadanos de la Unión Europea e incluso se habla de posibles bloqueos a aquellas empresas que no respeten estas normas.
Así pues, por parte de las empresas de todo el territorio español, es muy importante cumplir con los requerimientos de la AEPD; sobre todo, para evitar salir de la legalidad y afrontar las multas que ello supone.