¿Por qué me llegan tantos emails? Manual de urgencia del nuevo reglamento de datos

Ya está aquí. Este 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), un nuevo marco legal para todo el territorio europeo que supone un antes y un después en materia de privacidad. Entre otros asuntos, la normativa introduce nuevos derechos como el derecho al olvido o la limitación del tratamiento de datos, establece que los consentimientos de los usuarios deben ser siempre expresos y hace obligatoria la adopción de medidas de autoevaluación y autorregulación.

Se trata, por tanto, de una profunda actualización legal que obliga a las empresas a cambiar sus políticas legales. De ahí que en los últimos días muchos usuarios hayan recibido un auténtico aluvión de emails donde se les informa del cambio de normativa y se les pide su consentimiento para mantener sus datos. Y es que aunque las empresas han tenido dos años para adaptarse (desde el 25 de mayo de 2016), muchas de ellas no han hecho los deberes hasta el último momento pese a que se juegan multas millonarias: hasta 20 millones de euros o el 4% de la facturación.

Uno de los objetivos del nuevo reglamento es que los ciudadanos tomen conciencia de sus datos, entiendan su valor y sean capaces de gestionarlos como consideren oportuno. Desde este viernes se acaban los acuerdos tácitos y los usuarios deberán autorizar expresamente la tenencia y uso de sus datos a las diferentes compañías.

Los fraudes, a la orden del día

El nuevo reglamento incluye la creación de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés). Un nuevo puesto que será obligatorio para todos los organismos públicos y empresas que manejen un gran volumen de datos. Para cubrirlo, las empresas podrán nombrar a alguien de la plantilla o bien externalizar el servicio. En ambos casos, el DPO deberá contar con formación específica en la materia.

No obstante, no es oro todo lo que reluce, y ya hay quien aprovecha el reglamento para hacer caja con la adaptación normativa que tienen que hacer las empresas. “Desde que se aprobó la Ley Orgánica de Protección de Datos (LOPD) hemos detectado malas prácticas”, explica a este diario Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP).

TE PUEDE INTERESAR

El nuevo reglamento de datos pone en órbita a los cotizados abogados 'tech'

Álvaro G. Zarzalejos

Las formas de hacer negocio son variadas y, aunque se van sofisticando con el tiempo, hay algunas que perduran en el tiempo, como la llamada 'LOPD Coste 0'. “Consiste en usar de forma irregular los fondos de formación de la Fundación Tripartita para ofrecer un presunto servicio de asesoría legal”, señala la directiva. Con esta 'treta', las falsas consultoras ofrecen servicios de asesoría que no tienen coste por el cliente, ya que cobran su trabajo a través de los fondos de la citada formación. “Es un fraude”, recuerda la APEP, que llegó a poner este asunto en manos de la Fiscalía sin obtener ningún resultado.

Otra de las prácticas habituales consiste en utilizar el logo de la Agencia Española de Protección de Datos (AEPD) o presentarse con un nombre similar para engañar a las compañías. “Llaman a las empresas y les dicen que no tienen los ficheros registrados en la agencia o que hay alguna supuesta irregularidad”, explica la presidenta de la APEP. “Y ahí es cuanto entran en juego las falsas consultoras”.

En materia formativa, faltan manos para contar la cantidad de cursos, másteres y títulos que ya se ofertan para preparar a los abogados y otros profesionales en materia de protección de datos. A este respecto, la APEP alerta de algunas ofertas formativas que son “penosas” y sugiere escapar de eslóganes que invitan a convertirse en DPO en 60 horas. “Además de que son irregulares, este tipo de prácticas devalúan el asesoramiento en materia de protección de datos”, lamenta la directiva, quien considera que los más afectados son los pequeños consultores del sector.

La preocupación de la APEP es tal que han llegado a proponer varias enmiendas a la Ley de Competencia Desleal durante el proceso de consulta de la Ley Orgánica de implementación del nuevo reglamento. En concreto, la asociación ha pedido que se reconozcan como prácticas desleales "la suplantación de la autoridad de control" y las "prácticas conocidas como LOPD-coste cero" referidas antes.

No existe una titulación oficial

Los DPO, que deberán ser notificados a la AEPD, se enfrentan a un doble desafío: por un lado, el de asegurar que las empresas a su cargo cumplen el reglamento y, por otro, el de ser capaces de demostrar que cuentan con conocimientos técnicos y jurídicos para cumplir sus funciones. Una misión cuyo principal obstáculo es que no existe una titulación oficial que acredite como DPO.

A este respecto, desde la agencia recuerdan que fueron los primeros en toda Europa en elaborar un marco de referencia para esta figura. Se trata de un esquema de certificación que sirva para acreditar la formación de estos profesionales que puede ser suscrito por entidades certificadoras que cumplan una serie de requisitios.