Aunque el GDPR lleva casi un año en vigor, según un estudio de la Agencia Española de Protección de Datos, todavía hay muchas empresas que no cumplen con el Reglamento de la UE,. A continuación, analizamos qué se está haciendo mal en España y qué hacer para solucionarlo.
Hace casi un año que entró en vigor el Reglamento General de Protección de Datos (RGPD) en toda la Unión Europea. El principal objetivo de esta nueva legislación era ofrecer al usuario una mayor protección de sus datos personales, aumentar su privacidad y darle más herramientas para defenderse.
En los meses anteriores, analizamos en profundidad los cambios más importantes del GDPR, como el consentimiento informado o cómo afectarían estas novedades al sector sanitario y a los laboratorios. Un mes después, repasamos la situación previa de las empresas una vez que el reglamento pasó a ser de obligado cumplimiento.
En esta ocasión, y un año después de su entrada en vigor, vamos a conocer en qué estado se encuentra la protección de datos en las empresas en España y echamos un breve vistazo al resto de Europa.
Primeras sanciones en Europa
El cumplimiento del RGPD puede apreciarse fácilmente en el número de multas impuestas por las autoridades de cada país, como la multa de 4 800 euros impuesta a una casa de apuestas por la Autoridad de Protección de Datos de Austria (DBS).
El motivo de esta sanción es que el negocio tenía una cámara de seguridad en el exterior del local que apuntaba a gran parte de la acera y carecía de la señalización necesaria que advirtiera de que allí había un sistema de videovigilancia. Aunque a algunos les pareció una multa menor, el OSD la ha justificado basándose en el principio de proporcionalidad.
Para evitar este tipo de incidentes, la Agencia Española de Protección de Datos dispone en su página web de una guía sobre el uso de este tipo de cámaras de seguridad y su adaptación al conjunto de obligaciones que contempla el GDPR.
La Comisión Nacional de Protección de Datos de Portugal también ha tenido que actuar en este primer año de aplicación del GDPR, en este caso con una sanción económica mucho mayor. El afectado fue un hospital de Portugal, que deberá hacer frente a una multa de 400.000 € por la vulneración del principio de integridad y confidencialidad y del principio de minimización de los datos y por mala praxis del responsable del tratamiento de los datos.
El hospital mantenía abierto el acceso a más de 900 profesionales cuando había menos de 300 médicos en plantilla, por lo que la Comisión valoró que no se habían implantado las medidas de control y autenticación necesarias, ni un sistema de diferentes niveles de acceso. Además, es importante destacar que los datos médicos son considerados por el GDPR como de categoría especial, por lo que necesitan una mayor protección.
La última multa notable en la Unión Europea tuvo lugar en Alemania. La autoridad del país impuso una multa de 20.000 euros a la red social Knuddels después de que se filtraran más de 800.000 cuentas de correo electrónico y más de un millón de usuarios y contraseñas debido a un hackeo. Toda esta información sensible no contaba con ningún tipo de protección.
¿Ha habido alguna multa en España? De momento no ha habido sanciones económicas, pero sí un apercibimiento de conformidad a una empresa propietaria de dos tiendas Xiaomi en Madrid. Tenían teléfonos móviles que enviaban diariamente correos electrónicos con información como el cajero y la facturación de la tienda y datos personales de los empleados e incluso de algunos compradores.
Gracias a la voluntad de enmendar el error y a haber establecido medidas suficientes para aumentar la protección, la Agencia Española de Protección de Datos decidió no sancionarles con una multa que, en estos casos, podría alcanzar los 10 millones de euros o el 2% de la facturación anual.
Situación actual del GDPR en España
Para empezar, la gran mayoría de las empresas cumplen al identificar al responsable del tratamiento de datos personales y ofrecer la información de contacto en su página de política de privacidad. Sin embargo, no hacen lo mismo con la identidad de su representante. Además, un tercio de las empresas no dispone de la figura del consejero de protección de datos.
En cuanto al consentimiento, la mayoría de los analizados siguen utilizando una única casilla para dar el consentimiento en bloque, a pesar de que el texto enumera diferentes finalidades para los datos personales. En estos casos, debería aparecer una casilla para cada una de las distintas finalidades. El usuario debe poder elegir qué quiere que se haga con sus datos.
Los textos legales también pecan de utilizar un lenguaje demasiado ambiguo y expresiones poco concretas, que no aportan información real al cliente. Lo mismo ocurre con el plazo de conservación de los datos, que no se expresa con exactitud, o en algunas empresas ni siquiera se detalla este plazo estipulado por ley.
Por último, uno de los errores más comunes (tres de cada cuatro empresas) es no incluir la base legal que legitima el tratamiento de esos datos personales. El GDPR ofrece seis posibles bases jurídicas a tal efecto.
Además de este informe del organismo competente, la empresa Fellowes ha realizado un estudio en el que concluye que el 14% de los trabajadores españoles no cumple con el GDPR (cifra ligeramente inferior a la media europea que se sitúa en el 18%). Además, el 13% no ha recibido ningún tipo de nota informativa sobre los cambios relacionados con la protección de datos.
La importancia de las cláusulas de lectura obligatoria
Tras comprobar que aún queda camino por recorrer para cumplir con el GDPR, es importante destacar la importancia de que las empresas utilicen soluciones que cumplan con la legislación vigente en materia de protección de datos. Como hemos visto anteriormente, incumplir esta normativa implica sanciones económicas que, en algunos casos, pueden ser muy cuantiosas.
Las soluciones de firma digital, como el caso de Viafirma, ofrecen muchas ventajas para cumplir con la legalidad como la cláusula de lectura obligatoria. La mayoría de las personas no leen todos los contratos o las políticas de privacidad que les conciernen, y con la solución de Viafirma se asegura la lectura completa de las cláusulas y se ayuda a su compresión.
En definitiva, debemos continuar con el esfuerzo de adaptación a los últimos cambios en la legislación, que, al fin y al cabo, solo buscan dar un mayor grado de protección al usuario final. En este proceso, es importante apoyarse en soluciones tecnológicas que reduzcan el trabajo y faciliten las cosas.