María Bardají: “Todavía hay muchas dudas y temor entre las empresas sobre el nuevo RGPD”

Publicado el viernes, 25 mayo 2018

Parecía que no iba a llegar nunca, pero llegó: hoy es 25 de mayo y entra en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD). Un paso más en la regulación de nuestras vidas (ya todo está en la red) para intentar compaginar la protección de cierta información personal con la legítima -e imparable- actividad empresarial basada en la obtención y uso de nuestros datos.

Pero las dudas e incógnitas que se ciernen sobre las empresas a la hora de adecuarse al nuevo reglamento arrecian. Como siempre, a pesar del tiempo dado por la UE para adaptarse a lo que ya se conocía desde hace años, muchas compañías siguen sin saber cómo incorporar la nueva legislación a su día a día. Entrevistamos a María Bardají, abogada y responsable del Departamento de Protección de Datos de Rödl&Partner.

Núria Ribas / @oikit

 

María Bardají, responsable del Departamento de Protección de Datos de Röld & Partner España

 

P: Desde su experiencia en estos últimos meses, aconsejando a empresas para afrontar el nuevo RGPD, ¿cree que las compañías españolas están bien preparadas en general?

R: Creo que hay muchas dudas aún y sobre todo mucho miedo sobre cómo van finalmente a poder implementarse varios aspectos que afectan directamente a la operativa de las empresas y pueden provocar la necesidad de modificar algunas operativas comerciales.

P: ¿Qué aspectos destacaría como esenciales del nuevo reglamento de cara a una empresa?

R: Básicamente, son cuatro aspectos a tener en cuenta: el consentimiento, cuándo y cómo facilitar la información, la determinación del nivel de riesgo del tratamiento de datos y la necesidad de nombrar un Delegado de Protección de Datos. De estos cuatro puntos, los consentimientos son de lo más peliagudo, porque la línea entre consentimiento inequívoco y explícito es delgada y sutil.

P: ¿En qué sentido?

R: El RGPD nos pide una clara acción afirmativa, es decir desaparece el consentimiento tácito, lo que parece llevarnos a un consentimiento expreso, pero la diferencia de éste con el inequívoco es que el primero es mucho más estricto y permite menos juego, lo que puede ser trascendental para diseñar los consentimientos. Pongamos un ejemplo para verlo más claro: que nos indiquen que si queremos participar en un sorteo introduzcamos nuestro mail en una casilla concreta no es un consentimiento expreso ni explícito, pero sí que ha implicado una clara acción afirmativa, es decir, es inequívoco.

P: Hablando de consentimientos, durante la última semana cualquiera de nosotros ha recibido decenas de mails pidiendo consentimientos para seguir recibiendo newsletter, promociones, etc… ¿No ha sido un poco exagerado? ¿Es posible que más de una compañía pierda ítems de su base de datos por este bombardeo?

R: Totalmente. En mi opinión, esta avalancha de peticiones de consentimiento puede tener un efecto negativo y causar un sentimiento de hastío en el receptor que va a cansarse y a decir directamente que no, o a obviar el e-mail que le envíen y, con ello las empresas perderán muchos consentimientos válidos. Y creo que hay un poco de desconocimiento a este respecto por parte de los individuos y que algunas empresas se están aprovechando de la “fiebre” del RGPD para conseguir consentimientos válidos, que antes no se tenían y que deberían haberse tenido.

Por cierto, es importante destacar que el consentimiento para el envío de newsletter o comunicaciones comerciales por medios electrónicos no deriva del RGPD sino de la Ley de Servicios de Sociedad de la Información, que lleva vigente desde el año 2002.

P: Volvamos a uno de esos cuatro puntos esenciales: el Delegado de Protección de Datos, esta nueva figura que parece que toda empresa va a tener que nombrar hoy mismo. Si soy una pyme, ¿realmente es necesario nombrar un delegado?

R: Pues dependerá. Si la actividad principal de la pyme no es el tratamiento de datos personales, no será necesario, sino voluntario. Además, ese tratamiento deberá implicar operaciones a gran escala de observación de individuos o de datos especiales. En todo caso, es una figura que en las empresas más pequeñas se puede externalizar.

P: ¿Y las grandes empresas?

R: Resulta sensato en los grandes grupos de sociedad, nombrar un delegado único que emita directrices comunes y que sea asistido luego por delegados de protección de datos locales que le reporten su gestión. En todo caso, el delegado tiene que tener independencia, formación en Derecho y se debe tener cuidado con la persona que se elija para el puesto, sobre todo por los posibles conflictos de interés dependiendo de las funciones que la misma realice dentro de la organización.

P: ¿Cree que la nueva legislación ayudará a tomar conciencia a empresas y ciudadanía de lo vulnerables que son nuestros datos personales y de que debemos protegerlos entre todos?

R: Sí, sin duda alguna, es un paso más en la evolución tecnológica y, como tantas otras leyes que al principio han levantado ampollas, poco a poco las empresas irán interiorizando la importancia de proteger la intimidad de las personas con las que interactúan al mismo tiempo que los usuarios vayan ganando conciencia de sus derechos y del debido respeto a su intimidad, reclamándola ellos mismos y protegiéndola.

 

Sobre el autor
Núria Ribas

Periodista. Más de 20 años de experiencia en medios escritos y en comunicación política y corporativa. Periodismo jurídico, económico, político y cultural. Veraz siempre; parcial, también. @oikit

Comenta el articulo