El 25 de mayo de 2018 se cumple el plazo de dos años -desde su entrada en vigor el 25 de mayo de 2016- para empezar a aplicar obligatoriamente en todos los países de la Unión Europea el Reglamento General de Protección de Datos. La nueva normativa pretende ser más protectora con la información personal y los datos de los usuarios de redes sociales, smartphones o comercio electrónico, entre otros servicios. Pero, ¿en qué consiste el RGPD y que aplicación práctica y consecuencias puede tener para las empresas españolas? José Nogueira, abogado y socio director de la firma especializada en nuevas tecnologías Sistemius, nos resuelve todas las dudas.
¿Qué es el Reglamento General de Protección de Datos y qué implica?
El Reglamento General de Protección de Datos (RGPD) es un nuevo enfoque de cumplimiento normativo en materia de protección de datos. Antes, las empresas, independientemente de su tamaño y el tipo de tratamiento, debían cumplir la normativa de forma homogénea. Ahora, se pone mucho el foco en que las empresas, según su tipo de tratamiento y escala, se doten de los procedimientos internos y mecanismos que se consideren oportunos para cumplir. Por tanto, el cumplimiento debe ser muy proactivo.
¿Quién debe aplicar esta normativa?
Tiene una aplicación prácticamente universal. Todas las empresas (incluyendo a autónomos) deben cumplirla. También las Administraciones Públicas. Incluso las empresas extranjeras que dirijan de alguna forma sus productos o servicios a algún Estado de Europa.
En el sector de la publicidad y la comunicación, son muchas las empresas que trabajan con datos. Por ejemplo, ¿cómo puede afectar a una agencia de comunicación que envía comunicados a una base de datos?
Habrá que comprobar la base legal que legitima el tratamiento de datos, como el consentimiento, la existencia de una relación contractual o el interés legítimo para fines de mercadotecnia. Además, en todo caso, si las comunicaciones se envían a través de email o por vía electrónica (por ejemplo, redes sociales), hay que tener en cuenta la aplicación de la Ley de Servicios de la Sociedad de Información (LSSI).
¿Y a una empresa de marketing que haga campañas por email?
Las empresas de marketing deberán acostumbrarse a disponer de contratos de encargado del tratamiento para el acceso a los datos de sus clientes. Además, en todo caso, a la hora de realizar email marketing también hay que tener en cuenta la aplicación de la LSSI, que no ha cambiado (aunque para este año se espera la aplicación del Reglamento E-Privacy), que exige el consentimiento previo para el envío de emails de carácter publicitario. Por otro lado, si se utilizan terceras plataformas habrá que comprobar su nivel de cumplimiento del RGPD, revisar su política de privacidad y ver si se realizan transferencias internacionales de datos, entre otras cuestiones.
Imagino que las empresas de publicidad tampoco se libran…
Es que el sector de la publicidad es muy amplio. Por ejemplo, en la publicidad programática, especialmente, en lo relativo al “Real Time Bidding” (RTB), que ha crecido espectacularmente en los últimos años, el RGPD exige que los usuarios puedan oponerse a la elaboración de perfiles cuando les afecten.
¿Cómo deben tratar las empresas sus bases de datos?
Las empresas deben conservar registros y evidencias, especialmente digitales, de cómo se han obtenido los datos y qué tipo de información se le ha proporcionado al usuario. Las bases de datos obtenidas conforme al RGPD serán un activo muy importante de las empresas.
¿A qué sanciones se enfrenta quien incumpla esta normativa?
El RGPD contempla sanciones muy elevadas. Tanto es así, que a las empresas no les será para nada rentable la obtención de beneficio incumpliendo la normativa. Me explico. Por ejemplo, con la anterior LOPD la sanción máxima era de 600.000 €, cantidad que podría ser asumible por una multinacional si de ello sacase mayor beneficio. Con la aplicación del RGPD esto desaparece, ya que se contemplan sanciones de 20 millones de euros o, incluso, el 4% de facturación anual global de las compañías si esta cifra es superior a 20 millones de euros. Por lo que estas sanciones van a ser importantes y se van a asemejar a las que se están aplicando en el Derecho de la Competencia Europeo. Las compañías de Big Data claramente están en el punto de mira.
