La AEPD pone a disposición de las Pymes una herramienta “online” para a adaptarse a la nueva normativa

De izquierda a derecha, Andrés Calvo y Mar España de la AEPD y Juan Rosell, presidente de CEOE con Antonio Garamendi, presidente CEPYME.
|

Ayudar a las pymes que tratan datos de escaso riesgo, a adaptarse a la nueva normativa que emana del Reglamento Europeo de Protección de Datos (RGPD) es el motivo de la creación de la herramienta Facilita RGPD desde la Agencia Española de Protección de Datos (AEPD).

Sin embargo, la propia directora de la AEPD, Mar España, recalcó que habría que hacer un esfuerzo para adaptarse al nuevo entorno “no basta con que se utilice la herramienta sino que habrá que cambiar de mentalidad”.

PUBLICIDAD
PUBLICIDAD

La nueva herramienta se estructura como un cuestionario online que, una vez terminado, permite obtener los documentos mínimos indispensables para facilitar el cumplimiento del nuevo Reglamento General de Protección de Datos. Se encuentra ubicada en la web de la Agencia pero al cerrar la sesión, la información existente se pierde, algo que tendrán que tener en cuenta los responsables de las pymes de privacidad.

Mar España, directora de la AEPD, destacó que “El Registro de la Agencia cuenta con más de 4,6 millones de ficheros privados inscritos y el 75 % de ellos son tratamientos de bajo riesgo cuyos responsables son pymes en más del 90 % de los casos”.  Ahora con el apoyo de CEOE y CEPYME se hará una campaña de difusión masiva para que el pequeño empresario conozca la herramienta.

Aluvión de normativa que preocupa a los empresarios

En los últimos meses, una de las preocupaciones de las pymes españolas en este momento es el aluvión normativo que les llega de diversos frentes. Los cambios fiscales, en materia de cumplimiento normativo y ahora la adaptación al Reglamento Europeo de Protección de Datos son cuestiones que los pequeños empresarios ven en este momento más como una amenaza de sanción que una oportunidad competitiva.

PUBLICIDAD

Hace meses, en otro evento, éste celebrado en la propia AEPD, escuchábamos a César Blanco miembro de la ejecutiva de CEPYME, señalar que los empresarios “tenemos que dedicarnos a trabajar por encima de todo”; comentaba. La llegada de esta herramienta que se presentaba esta semana va a ser de gran ayuda para que las pymes se adapten al Reglamento Europeo de Protección de Datos en mayo del 2018.

A la presentación de Facilita RGPD que tuvo lugar en CEOE contó con la presencia e intervenciones de su presidente Juan Rosell y del presidente de CEPYME, Antonio Garamendi, quienes junto con la directora de la AEPD, Mar España, destacaron la importancia de dicha herramienta.  Junto a ellos muchos expertos invitados del mundo de la privacidad y la abogacía junto con los medios informativos que pudimos ver en directo una demostración del uso de esta herramienta.

PUBLICIDAD

En opinión de Rafael García del Poyo, abogado, socio de Osborne Clarke, experto en privacidad y derecho de la información “La herramienta es gratuita y fácil de utilizar, pues requiere simplemente cumplimentar una serie de preguntas para lograr una primera aproximación al cumplimiento del contenido jurídico del RGPD”.

PUBLICIDAD

Otro de los rasgos que ha llamado la atención es que “una vez finalizado el proceso automático de Facilita RGPD permite obtener a la entidad aquellos documentos mínimos indispensables para facilitar el cumplimiento del normativo en estándares básicos”. Y es que esta herramienta pretende ser un punto de partida en el proceso de cumplimiento progresivo del contenido del RGPD, pero no basta con su uso para cumplir la normativa que se avecina”.

Esta herramienta es un punto de arranque para que la empresa  desarrolle su política de privacidad a posteriori y cumpla  la nueva normativa.

Cambio mentalidad de privacidad en las pymes

Sobre cómo las pymes se van a adaptar al RGPD, García del Poyo ve que tendrán que “dejar de registrar ficheros a tener la capacidad de generar y mantener puesta al día aquella documentación relativa a los ficheros de datos o, en el futuro inmediato, a los inventarios de aquellos tratamientos de datos que estas compañías efectúan en el ejercicio diario de su actividad empresarial”

Este experto en privacidad destaca que “de hecho, esta obligación jurídica se ha visto ahora reforzada y también transformada en sus requisitos de carácter formal por parte del RGPD, lo cual implica que el nivel de exigencia que ya existía en este mismo sentido en la LOPD se vea en cierto modo incrementado”.

Otra cuestión que las pymes deberán tener en cuenta es que “en paralelo, junto a este requisito de mantener el inventario de esos tratamientos aparece el de mantener aquellas evidencias (documentales o no) que resulten necesarias para demostrar la obtención de los consentimientos pertinentes para llevar a cabo de forma lícita los tratamientos de datos que son comunes a cualquier empresa u organización, por ejemplo, en materia de gestión de los recursos humanos”.

PUBLICIDAD

Sobre inconvenientes relacionados con las novedades que introduce el propio RGPd, García del Poyo señala que “se podrían destacar de esas dificultades que pueden llegar a generar en la PYME la necesidad de adoptar unas determinadas medidas de seguridad derivadas del hecho de que el RGPD no establece un catálogo de medidas específicas que las entidades deben implantar, sino que únicamente recoge los objetivos o principios que en todo caso deben verse eficazmente cumplidos.”.

Desde su punto de vista “a este respecto, quizá la puesta en marcha de procesos de certificación empresarial en materia de estándares técnicos de seguridad informática puede llegar a convertirse en un aliado eficaz de la PYME española a los efectos de dar eficaz cumplimiento al RGPD en este punto en particular”.

Herramienta mejorable en sus capacidades

Para Francisco González, abogado asociado senior de Prodat, experto en nuevas tecnologías  “esta herramienta no tiene en cuenta categorías de colectivos vulnerables como pueden ser menores o ancianos. Deberían haber sido tenidas en cuenta en el cuestionario inicial puesto que aunque no exista un tratamiento de historial clínico si no se dispone de servicio médico o de enfermería, es habitual tener datos de medicación o intolerancias alimenticias”.

Según Mar España, directora de la AEPD, “El Registro de la Agencia cuenta con más de 4,6 millones de ficheros privados inscritos.

Para este abogado “tampoco tiene en cuenta otras variables como el volumen cualitativo o cuantitativo de los tratamientos. Independientemente del tipo de tratamiento, si dispone de un gran número de datos de interesados o un gran número de categorías de datos de esos interesados, deberían tenerse en cuenta como lo tuvo presente en sus últimos Dictámenes el Grupo de Trabajo del Artículo 29”.

Sobre el contenido del informe que se genera tras cumplimentar la información “no me terminan de convencer los modelos de cláusulas propuestos ya que distan mucho de las recomendaciones de la propia Agencia Española de Protección de Datos en su reciente Guía para el cumplimiento del deber de informar”.

Gonzalez destaca que “en primer lugar la información no se presenta en dos capas sino en una, faltando por tanto la información ampliada. Además no incluyen uno de los aspectos incluidos en la Guía y en el propio RGPD, que es la legitimación o base jurídica del tratamiento por lo que podría sancionarse a una Pyme que utilice la claúsula propuesta por la herramienta Facilita”.

A juicio de este experto “en lo que respecta a las comunicaciones de datos o destinatarios de los datos se utilizan términos muy vagos y genéricos que pueden no adaptarse a la realidad de los tratamientos realizados (“los datos no se cederán a terceros salvo obligación legal”, “los datos no se cederán a terceros”, etc). También son muy genéricos y vagos los plazos de conservación de datos (“hasta que usted ejerza el derecho de cancelación”, “durante los años necesarios para cumplir las obligaciones legales”, etc)”.

Falta cláusula específica para tratamiento datos empleados

Para este experto en privacidad “se echa en falta una clausula específica de información para el tratamiento de datos de los empleados ya que es habitual que se realicen otras finalidades de tratamiento adicionales a la de gestión de la actividad laboral como puede ser la publicación de fotos de empleados en la página web y perfiles de redes sociales de la empresa”:

Sobre las medidas de seguridad indica que “son muy genéricas y no responden al principio de enfoque basado en el riesgo del RGPD. El cuestionario no toma en cuenta ninguna de las variables que se deben tener en cuenta a la hora de realizar el análisis de riesgos”.

Ambos expertos coinciden en que las pymes tendrán problemas a la hora de adaptarse al nuevo modelo “más proactivo que el anterior donde se implementaban unas cláusulas y medidas de seguridad y se firmaban unos contratos con prestadores de servicios y en el peor de los casos se debían pasar auditorías bienales”.

De hecho, según Francisco Gonzálezla medida que más preocupación causa es la de notificación a la Agencia Española de Protección de Datos de las violaciones de seguridad y, en su caso, a los propios afectados tanto por el miedo al daño reputacional como el miedo a ser sancionado con posterioridad por incumplir del deber de garantizar la seguridad y la integridad de la información”. También se espera que la propia AEPD sea proporcional con las sanciones sabiendo que quien comete esas infracciones son pymes y no grandes empresas.

Las propias pymes esperan que la AEPD tenga en cuenta su actividad y características y en casos de sanciones lo haga con proporcionalidad adecuada al hecho en cuestión