La protección de los datos personales es una cuestión de gran importancia en el ámbito de la Unión Europea y el mundo en general. En la medida en que las nuevas tecnologías permiten una difusión de muchísima información de carácter personal, empresarial y comunicativo, ha surgido una indiscutible necesidad de regular y proteger estos datos. En nuestro entorno más cercano, es decir Europa, la UE lo ha regulado con el RGPD. Esta normativa, sin embargo, está teniendo una incorrecta adaptación en el sector de las PYMES. Veamos qué ocurre.
¿Qué es lo que establece el RGPD y cómo deben las PYMES implementarlo?
El RGPD (Reglamento General de Protección de Datos) es una normativa europea de obligado cumplimiento desde el 25 de mayo pasado, habiendo tenido dos años para su adaptación dentro de los diferentes actores de los países miembros.
Este reglamento, que se aprobó en el año 2016, es la norma europea RGPD UE 2016/976 (GDPR EU 2016/976 en inglés) y su objetivo es estandarizar la legislación de todos los estados miembros de la UE en esta materia, reforzando la protección de los datos personales de todos los ciudadanos europeos.
Desde su aprobación y correspondiente publicación en el Diario Oficial de la Unión Europea (DOUE), esta norma ha desplazado la totalidad de las legislaciones estatales de los miembros de la Unión Europea.
Pero en nuestro país, la Agencia Española de Protección de Datos (AEPD) está detectando, una serie de prácticas de dudosa reputación. Estas actividades generalmente promovidas por empresas que se catalogan de expertas y conocedoras del reglamento puesto en vigor por la Unión Europea, contactan con las PYMES para ofrecer servicios de adaptación a la norma. Las PYMES, deben estar atentas ya que, en muchos casos, estos negocios de consultoría no lo hacen correctamente:
– No es suficiente con promocionar la puesta a disposición de formularios que atienden la parte formal del RGPD, sin actualizar los contenidos de manera rigurosa, por lo tanto, las PYMES podrían en una situación de imcuplimiento de la norma, habiendo incluso tenido el interés por hacerlo correctamente.
-Ofrecen, entre otros, servicos de formación para los empleados de las PYMES que manejarán estos datos, argumentando un confuso “coste irrelevante”. El planteamiento de estas empresas de servicios para defender sus tarifas se basa en el potencial gasto que supondría una sanción por incumplimiento del RGPD. Dado que estas sanciones pueden llegar a ser muy relevantes (hasta el 4% facturación anual con tope 20.000.000 de euros), el gasto de una consultoría que ayudara a las PYMES se presenta ventajoso.
– Algunas de estas asesorías utilizan el nombre o el logo de la AEPD sin autorización ni el consentimiento para dicha disponibilidad, de tal manera que están incurriendo en una irregularidad.
Por otra parte, las PYMES pueden informarse sobre la normativa RGPD y las medidas que deben tomar para su correcta adecuación, en el sitio web de la AEPD, desde donde se ponen disposición tanto las novedades y modificaciones del reglamento europeo, como diversas herramientas informáticas para posibilitar su adaptación con garantías.
Remarcar que es justamente en este punto, el de una correcta implementación, allí donde las PYMES deben estar más atentas ya que de nada servirá ponerse en manos de cualquier empresa de servicios asesores o de consultoría, si esta última desconoce cuales son realmente las medidas adicionales a implementar para cumplir con el RGPD.
El tratamiento de datos de carácter personal es una cuestión muy relevante, por esta razón si una PYME toma la decisión de ponerse en manos de una asesoría, puede ser de gran ayuda haber visitado previamente la web de la AEPD para familiarizarse con esta nueva norma, las novedades con respecto de la legislación anterior y las herramientas que la Agencia española pone a disposición de las PYMES para facilitar su correcta adaptación.