Ir a contenido

posibles multas millonarias

Las empresas abruman con correos por la protección de datos

El RGPD obliga a disponer del consentimiento explícito de los usuarios a ceder información privada

El uso de redes públicas wifi por parte de directivos puede desembocar en robo de datos

Eduardo López Alonso

Una persona trabaja en su ordenador.

Una persona trabaja en su ordenador. / RICARD FADRIQUE

La nueva normativa de protección de datos, la conocida como RGPD y que entró en vigor esta semana, ha disparado los mensajes a los usuarios por parte de las empresas para confirmar la cesión de información personal. Pese a que la entrada en vigor del reglamento estaba prevista desde hace años, en la última semana las empresas han tenido serios problemas para ajustarse a las exigencias de la ley. Fuentes del sector reconocen que son muchas las empresas que todavía se encuentran en periodo de adaptación, apuradas ante la posibilidad de incurrir en una multa, que pueden ascender hasta al 4% del volumen de la facturación anual de la empresa, con un tope de 20 millones de euros. Los riesgos que entrañan la custodia de los datos personales de los clientes son múltiples, y a ellos se suman los derivados de la falta de preservación de información importante por parte de los propios empleados o directivos de las empresas. 

Los riesgos pueden derivarse por ejemplo de la conexión a una red wifi pública (en una cafetería, en el tren, en un aeropuerto...). ¿Qué ocurre en el caso de consultar el correo electrónico de la empresa en una de esas redes públicas? ¿Cuál es el efecto de haber liberado el móvil? ¿Tiene datos en su móvil que nadie debería conocer?  La respuesta a estas preguntas puede desembocar en un riesgo real de multa para las empresas, incluso por la falta de conocimientos tecnológicos de sus directivos. 

Las infracciones más habituales de la RGPD se intentan enmendar mediante correos electrónicos que confirmen el permiso para la cesión de datos. Hasta ahora, se podían usar esos datos mientras el cliente no se pronunciara en contra. A partir de ahora será necesario recibir la respuesta afirmativa al respecto del afectado. Otro incumplimiento habitual es no disponer de un sistema de verificación de edad o de la información disponible. Las empresas pueden incurrir en una infracción por manejar datos inexactos, por lo que deben confirmar que la información suministrada es la real. 

Los expertos advierten de que si por un despiste o desconocimiento alguien usa un dato de un cliente para otra actividad del negocio para lo que no está permitido, la sanción será cuantiosa. Los sistemas de protección también son imprescindibles, lo mismo que los seguros de responsabilidad civil para cubrirse ante posibles errores en la gestión de la información.

Proyecto europeo

Ante la gravedad de la situación se ha impulsado un proyecto europeo para ayudar a pequeñas y medianas empresas a adaptarse al nuevo marco normativo RGPD, de aplicación común a toda la Unión Europea. En total, participan en el proyecto 12 instituciones de toda Europa, entre centros tecnológicos, universidades, asociaciones de pequeñas y medianas empresas, instituciones de normalización y agencias europeas de protección de datos.

Uno de los objetivos del proyecto, que se denomina SMOOTH (GDPR Compliance Cloud Platform), es "hacer llegar a las pequeñas y medianas empresas herramientas para adaptarse a la nueva normativa, ya que muchas pymes no disponen de los recursos ni de la formación para adecuarse al nuevo reglamento e ignoran sus obligaciones en este sentido", ha explicado el director de Data Science de Eurecat, Nikolaos Laoutaris.

El proyecto, que ha recibido financiación de la Comisión Europea en el marco del programa H2020- Digital Security, está diseñado para convertirse en una plataforma estándar de adopción de la nueva normativa a nivel europeo. Eurecat ha aportado su conocimiento del proyecto Types, en el que desarrolló tecnologías específicas de anonimización de datos personales y de detección de discriminación algorítmica para facilitar el adaptación de las empresas al nuevo Reglamento General de Protección de Datos europeo.