Algo tan sencillo y cotidiano como enviar un email podría convertirse en conducta sancionable a partir del próximo 25 de mayo, fecha en la que entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Las empresas deberán obtener el consentimiento expreso de los usuarios para almacenar y utilizar sus datos, condición que no existía hasta el momento, ya que bastaba con que fuera tácito.
¿Qué ocurre si en la redacción de un periódico se cede el número de teléfono de una fuente a un compañero, o si un agente de seguros que se jubila proporciona la dirección de un cliente a su sustituto? En principio, no hay por qué preocuparse, el RGPD no entra a valorar estos supuestos. Sin embargo, sí va a ser muy estricto con el tráfico de bases de datos. No se puede traspasar una lista completa de contactos de móvil o cuentas de correo, ni una cartera de clientes. Aunque se haga de forma legal, es necesaria la autorización de todos los destinatarios, y además se deben facilitar herramientas para solicitar su rectificación.
[Sumario]
Las compañías tendrán que cumplir una serie de requisitos, entre otros, llevarán a cabo un análisis de riesgos, los responsables de los ficheros deberán estar debidamente identificados, y será obligatoria la elaboración de un registro de actividades de tratamiento. Otra de las novedades importantes es la inclusión de ciertos derechos, como los de limitación, portabilidad y olvido. También aparece el concepto de brecha de seguridad, que se define como “toda violación que ocasione la destrucción, pérdida o alteración, accidental o ilícita, de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”, para lo que se establecerá un protocolo específico.
Cuando es el propio empleado de una firma el que recoge datos de carácter personal, no bastará con exhibir el documento que le identifica para lograr el consentimiento. El recepcionista de un hotel, por ejemplo, deberá solicitar al cliente que marque la casilla de autorización para tratar los datos personales, y advertirle de cuál es el objetivo de recopilar esa información. Por otra parte, se acabaron las bromas en internet. Utilizar la identidad de un tercero para abrir una cuenta en redes sociales lleva consigo el delito de suplantación, y puede acarrear otros, como revelación de secretos o acoso. Además, desaparecen las casillas premarcadas de las páginas web.
La regulación que va a entrar en vigor afectará a toda sociedad o autónomo que recopile o utilice datos personales de terceros de cualquier estado de la Unión Europea. Según un reciente estudio realizado por la consultora Sage, más de la mitad de las pymes no está al corriente de la nueva legislación, y una de cada tres reconoce que no llegará a tiempo para implantar los requisitos de la normativa. Aquellas entidades que incumplan el RGPD, se enfrentarán a elevadas multas, que van desde los 10 a los 20 millones de euros, o que pueden oscilar entre el 2 y el 4% de su facturación anual.
A priori, el tráfico de datos con fines comerciales tiene los días contados. En un futuro próximo, veremos si la ley se aplica a rajatabla, o si las asesorías jurídicas de las empresas afectadas encuentran vericuetos por los que eludir sus responsabilidades. ¿Volverá a llamar a nuestro móvil alguien con voz repipi ofreciéndonos el santo grial para que nos cambiemos de compañía telefónica?