Si l'últim escàndol de Facebook amb Cambridge Analytics per la revelació de dades privades a internet s'hagués produït a partir del pròxim 25 de maig i no el passat mes de març, Mark Zuckerberg s'hauria vist obligat a pagar un 4% de la seva facturació com a indemnització. El que serien 512 milions d'euros. Aquesta és una de les multes que hauran de pagar les companyies que, en un termini de 31 dies, no s'adaptin al nou Reglament General de Protecció de Dades (RGPD) aprovat per la Unió Europea. Un temps ajustat i que posa sobre la corda fluixa fins a un 40% de les pimes de l'Estat espanyol, que es troben lluny de complir els requisits.
Pose: "És el canvi més radical en matèria de protecció de dades dels últims 20 anys"
Segons l'empresa especialista en assegurances de Defensa Jurídica ARAG, a Catalunya són prop de 370.000 les companyies que no s'han adaptat a la normativa després de dos anys de transició. I és que el reglament va entrar en vigor el 25 de maig del 2016, deixant un termini exacte de 24 mesos per a l'exigibilitat del compliment de la legislació. "La Unió Europea sabia que seria una tasca difícil, per això va donar aquest marge", explica l'advocada d'ARAG M. Belén Pose, qui etiqueta el nou reglament com "el canvi més radical en matèria de protecció de dades dels últims 20 anys".
Facebook, WhatsApp, Instagram... no se'n salven
Aquestes últimes setmanes els usuaris han rebut un seguit de comunicacions de companyies internacionals com Facebook, WhatsApp o Instagram, per dir alguns noms. El seu objectiu era que l'usuari acceptés una sèrie de condicions per l'ús del servei, però deixant molt clar què suposa cadascuna i donant total llibertat a no marcar-ho.
Precisament una de les principals novetats del RGPD rau en el fet que tota companyia que no tingui presència a la UE però hi presti serveis i faci seguiment i monitorització de dades, està obligada a complir la normativa. Fins ara els països només podien controlar i sancionar les companyies establertes dins de les seves fronteres, el que feia que multinacionals com les abans esmentades estiguessin exemptes d'aplicar una normativa molt més restringida que la nord-americana en la gestió de la informació dels usuaris.
A tot això s'hi ha de sumar que els drets anteriorment coneguts com a ARCO (accés, rectificació, cancel·lació i oposició) s'ampliïn per incloure els de portabilitat, limitació de tractament i dret a l'oblit. "L'usuari ara podrà limitar el tractament de les seves dades en els supòsits que hi hagi errors o es consideri que no són lícites, però també podrà demanar que es facilitin la migració de la informació a una altra empresa", detalla l'experta sobre els dos primers.
Google ha rebutjat un 62% de les peticions d'esborrar les dades des del 2014
El tercer podria ser considerat com un dels grans assoliments, ja que fins ara el dret a l'oblit existia d'acord amb una sentència del Tribunal de Justícia de la UE del 2014. "Ara té un reconeixement exprés a la norma", afegeix Pose. Així, per entendre la seva magnitud, Google haurà d'acceptar les prop de 106.000 peticions rebudes per desaparèixer de la xarxa, que representen el 62% de les rebudes des del 2014.
Menors a les xarxes socials
L'edat mínima perquè un menor pugui accedir a les xarxes socials sense el consentiment dels pares és actualment els 14 anys. El RGPD l'apuja fins als 16 anys, però deixa la porta oberta als països membres a rebaixar-lo, però amb els 13 anys com a edat mínima.
Pose recorda que l'aprovació de la nova llei de protecció de dades per part de l'Estat espanyol –que haurà d'incloure tota la normativa europea- encara no està en vigor i que segurament arribarà passat el 25 de maig. Tot i això, creu que Espanya s'acollirà a la reducció de l'edat mínima permesa fins als 13 anys. "Com que encara no hi ha res segur, les xarxes ja estan comunicant els seus canvis i han optat per posar-se elles mateixes els 16 anys", comenta l'advocada especialista.
A més a més, si fins ara hi havia una protecció especial per a les informacions anomenades sensibles, les que tenen a veure amb la ideologia, religió, origen racial, salut, vida sexual o infraccions penals. Ara a la llista s'hi incorporen dues categories més: genètiques i biomètriques.
Pose: "Has de garantir que les dades només s'usaran per a la finalitat que has estat recollides"
A això s'hi ha de sumar que la informació recollida només la pot explotar la mateixa companyia, no es pot cedir a altres empreses amb finalitats comercials com fins al moment. "I has de garantir que les dades només s'usaran per a la finalitat que has estat recollides", afegeix.
Més informació per a l'usuari
Si fins ara s'acceptaven moltes clàusules pràcticament sense llegir-les o entendre-les, i sabent que les empreses podien continuar amb la seva activitat pel simple fet de tenir el silenci de l'usuari, ara aquest anomenat "consentiment tàcit" no serveix. "Abans et preguntaven si volies rebre informacions al correu i marcaves amb una X, això ara no serà vàlid. Ara caldrà tenir un consentiment inequívoc i ha d'estar basat en una afirmació real de l'interessat, que ha d'entendre què accepta", afirma Pose.
La societat està preparada per a aquesta responsabilitat? "Cada cop hi ha més consciència", respon, "a vegades hi ha desconeixement sobre què representa cada dret, però la tasca d'informar sobre les novetats ajudarà que s'entenguin millor coses que abans generaven dubte". Una fita que és d'especial importància entre els nadius digitals, els qui més poden patir les conseqüències futures d'una mala gestió de l'empremta digital.
Qui ho ha de complir i com?
El RGPD no marca una frontera per mida de companyia, sinó que la classificació dels qui estan obligats a complir la normativa es fa en funció de si la seva activitat suposa el maneig d'informació d'usuaris i clients. Tal com explica Pose, "fins ara les empreses estaven obligades a comunicar a l'Agència Espanyola de Protecció de Dades (AEPD) els fitxers que tenien i ara això se substitueix per l'obligació de preparar un registre d'activitats on s'hauran d'explicar quines dades es tracten, per a què, a qui ho cedeixen... i tot independentment de l'activitat del negoci".
Paral·lelament, hauran de comunicar a l'AEPD les bretxes de seguretat del sistema que puguin tenir un impacte en la privacitat i, en el cas que succeeixi algun problema, comunicar-ho de manera individual als afectats. També caldrà fer anàlisis de risc per saber què pot passar amb les dades que es tracten. "Un exemple és la creació d'una app on s'usen dades personals que es poden posar en risc. Cal fer una avaluació per saber quines mesures de seguretat aplicar", il·lustra l'advocada d'ARAG.
El delegat de protecció de dades
El RGPD que entra en vigor el 25 de maig fixa l'obligatorietat de tenir un delegat de protecció de dades en aquelles empreses que, per la seva activitat, fan una clara explotació de la informació extreta dels usuaris. Pose el descriu com "la figura enllaç entre els ciutadans, l'empresa i l'AEPD, i amb coneixements en dret i tecnologia per cobrir tota la gamma de perills de la xarxa", entenent que dins del conjunt empresa també s'hi inclouen els organismes públics. "Pot ser també un extern", afegeix, i recorda que fins ara no hi ha una llista aprovada que dictamini quines activitats requeriran aquesta figura. Caldrà esperar a l'aprovació de la normativa per part del Parlament espanyol.
Pose: "Els delegat de protecció de dades podrien haver de certificar-se en institucions validades per l'agència espanyola".
Davant el nou panorama, queda clar que el delegat serà un dels professionals més demandats en els pròxims mesos. L'advocada assegura que hi ha suficients experts en la matèria, tot i que reconeix que l'AEPD ha criticat que no hi ha prou delegats identificats com a tal. Motiu pel qual, apunta, "les persones podrien haver de certificar-se en institucions validades per l'Agència espanyola".
Pose: "La nostra normativa és la més exigent de la UE. En altres països el canvi ha estat molt més impactant"
Tot i això, Pose remarca que Espanya és un dels països amb la regulació més restrictiva en la matèria. "La nostra normativa és la més exigent de la UE. En altres països el canvi ha estat molt més impactant", defensa, recordant que qui més atenció ha de parar en la nova obligatorietat són les pimes i els autònoms. De fet, a l'Estat espanyol més del 40% de les pimes i el 50% dels autònoms no s'han adaptat al reglament.
En aquests casos, on la inversió en un delegat i en mesures de seguretat pot suposar un cost massa elevat, l'advocada esmenta el programa Facilita RGPD: "És una eina gratuïta de l'AEPD que fa un tractament de la informació. S'introdueixen les dades i proposa clàusules, recomanacions, ajuda a elaborar una política de privacitat...". Un petit suport per evitar l'incompliment del marc legal i la seva corresponent sanció.
Multes de 20 milions d'euros
L'actual llei orgànica de protecció de dades contempla sancions que van des dels 900 fins als 600.000 euros. Unes xifres que semblen baixes davant el perill d'assumir multes de 20 milions d'euros o el 4% de la facturació anual que inclou el nou RGPD. Només hi haurà excepcions, a determinar segons GT 29, l'organisme consultiu format per les principals autoritats europees, que suposen assumir l'abonament de 10 milions d'euros o el 2% de la facturació.
En qualsevol cas, l'Agència espanyola ja ha anunciat que des del mateix dia 25 de maig ja es poden començar a fer controls i inspeccions en sectors com les comunicacions, salut o finances on el tractament de dades personals són de gran impacte.
VIA Empresa també s'adapta al Reglament General de Protecció de Dades. Recorda comprovar el teu correu per continuar rebent els nostres butlletins i estar al dia amb l'actualitat