Las pymes españolas incumplen la nueva ley de datos: se exponen a multas de 20 millones

En torno a un 99% de las empresas españolas son pymes, según el ministerio de Economía. Todas gestionan en su quehacer diario datos de sus clientes. Hasta ahora esta actividad se regía por la Ley Orgánica de Protección de Datos (LOPD), pero el próximo 25 de mayo de 2018 entrará en vigor la normativa europea conocida como General Data Protection Regulation (GDPR).

Una regulación que modificará de forma estructural la manera en que las empresas gestionan los datos personales. Pymes y grandes corporaciones han tenido dos años para prepararse para todos los requerimientos que se pedirán a partir del 25 de mayo, pero a las pequeñas y medianas empresas les ha pillado el toro.

"Entre las pymes hay un desconocimiento grandísimo. Muchas no van a llegar con los deberes hechos a la entrada en vigor de la ley. A este tipo de empresas las han matado porque cumplir con lo que marca la GDPR es muy complicado. Las grandes corporaciones, por su estructura y músculo, ya han cumplido con la ley o cumplirán a pesar de que no quede mucho tiempo porque tienen recursos para hacerlo", explica Ruth Benito, experta en GDPR del despacho de abogados Elzaburu.

Hasta ahora al descargar una app se aceptaba de forma total lo que se haría con nuestros datos. Ahora se validará por partes para que el usuario sepa con más precisión qué se hará con sus datos si da consentimiento

De lo que muchas pymes no son conscientes es de las sanciones que pueden llegar a pagar por no cumplir con la GDPR. Serán de hasta 4 millones de euros o hasta un 4% de la facturación. Sí, hablamos de facturación. Es decir, una empresa puede estar dando pérdidas pero tener que asumir una multa millonaria.

Nuevos requisitos

La GDPR se articula en torno a cuatro puntos que son los que las empresas deben tener más en cuenta a la hora de gestionar el día a día de los datos de sus clientes, empleados o proveedores.

1.-Principio de responsabilidad proactiva. Es un concepto incluido en la nueva regulación por el cual se exige a la empresa que realice una gestión continua de todos los datos. Si hasta ahora valía con inscribir ficheros y guardar un documento de seguridad para que cuando se presentase una inspección supiese qué había pasado con determinados datos, ahora habrá que ser mucho más versátil. Así, si una empresa cambia de programa informático o de proveedor para gestionar su base de datos, debe establecer nuevos procesos para tratarlos con garantías. "La GDPR dice que no basta con que la política de datos se adapte un día únicamente. Hay que hacer un seguimiento diario. Si un proceso cambia hay que ver cómo afecta a la protección de datos. Para superar esto se ha creado un instrumento, considerado imprescindible, llamado 'Registro de actividades de tratamiento' en el que se apunta todo lo que se hace con cada grupo de datos de la empresa de forma periódica", explica Benito.

2.- Ampliación de los aspectos sobre los que hay que informar. Se trata de la típica cláusula que hay que aceptar al descargar e instalar un programa o aplicación en el ordenador o en el móvil, en la que se advierte de que los datos se usarán para determinados fines. Esta cláusula debe ser ahora mucho más completa. Se debe informar sobre a quién se va a ceder los datos, si habrá transferencia de los mismos a otros países, los derechos de la persona que es poseedora de esos datos, cuánto tiempo serán tratados y un sinfín de aspectos más de los que hasta ahora no era obligado informar.

Las pymes tienen mucho más difícil llegar a tiempo para la GDPR que las grandes corporaciones, que tienen más recursos y estructura para hacerlo

3.- Consentimiento. Los tratamientos de datos basados en el consentimiento de la persona serán más restrictivos. Esto es así "porque el consentimiento para tratar esos datos debe ser específico, inequívoco, libre e informado, y siempre en sentido afirmativo. Esto se hace para evitar tratamientos de datos con un consentimiento tácito", explica Benito. Hasta ahora al descargarse una app podían encontrarse cláusulas del tipo: Si antes de 30 días no comunicas lo contrario, tus datos se cederán a empresas de terceros. Ahora para cada tratamiento de datos habrá que responder con un 'Sí' o un 'No'. Antes se aceptaban muchas condiciones de una sola vez y el usuario perdía la cuenta -o no leía- lo que se iba a hacer con sus datos. A partir del 25 de mayo tendremos que ir validando por bloques lo que harán con nuestros datos con un 'Sí' o 'No'. "Antes se firmaba un todo. O aceptabas todo o no aceptabas nada. Ahora se pide que todo se haga por partes", concluyen desde Elzaburu.

4.- Análisis de riesgos. "Es el punto más comprometido porque la GDPR deja la puerta demasiado abierta a interpretaciones", explica Ruth. Hasta ahora la normativa marcaba qué tipo de medidas había que implementar en función de cada dato a tratar. "La GDPR lo que viene a decir es que cada empresa es 'mayor' y que es ella quien debe analizar los riesgos y establecer las políticas oportunas en cada caso", apostilla Benito". Luego, llegado el momento de la inspección, será el personal oportuno quien valore esas medidas.