Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿Cuál es el impacto de la protección de datos en las Pymes?

¿Cuál es el impacto de la protección de datos en las Pymes?
Javier Puyol es socio director de Puyol Abogados & Partners. Foto: Carlos Berbell/Confilegal.
13/10/2018 06:15
|
Actualizado: 19/4/2021 10:17
|

En esta noticia se habla de:

El legislador europeo es consciente de la problemática que tiene el cumplimiento de las obligaciones derivadas del régimen de la protección de datos para las Pymes.

Por ello, se ha señalado en el Reglamento (UE) 2016/679 que se hace necesario garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, y ello conlleva una la existencia de una normativa que proporcione seguridad jurídica y transparencia a los todos los operadores económicos, lo que incluye a las microempresas y las pequeñas y medianas empresas.

Consecuentemente con ello, y con el objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, dicho Reglamento incluye una serie de excepciones en el cumplimiento de obligaciones para esta tipología de empresas y pretende que las instituciones y órganos de la Unión Europea, los Estados miembros y las autoridades de control tengan en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación de la nueva normativa sobre protección de datos de carácter personal.

Hoy en día, en el análisis del nivel de cumplimiento que las Pymes llevan a cabo de la normativa vigente en el ámbito de la protección de datos de carácter personal, deben tenerse en cuenta los principales errores que cometen estas sociedades lo que determina un abanico ciertamente amplio de los mismos.

LOS ERRORES QUE COMETEN LAS PYMES

No obstante, ello, dichos incumplimientos o malas praxis, se pueden sintetizar de la siguiente manera[i]:

a). El desconocimiento de las obligaciones que les vienen impuestas y que de manera necesaria han de cumplir en el ámbito de la protección de datos de carácter personal. El primer error que cometen las PYMES es el desconocimiento de las obligaciones impuestas ahora por el Reglamento (UE) 2016/679, como las establecidas anteriormente por la Ley 15/1999 sobre protección de datos personales.

La correcta aplicación y desarrollo de esta normativa es igual de importante que el cumplimiento de cualquier normativa relacionada con la gestión laboral o tributaria de la empresa.

b). El uso de formularios de contacto incorrectos. En este caso, suele ser habitual que las empresas utilicen un único modelo de formulario de contacto para obtener los datos personales de los usuarios finales, como titulares de los datos a tratar.

El uso de estos formularios lleva consigo la producción de una serie de consecuencias jurídicas que legitiman el tratamiento a llevar a cabo: (i) en primer término, la existencia de una base legal legitimadora del tratamiento, la cual normalmente se materializa en un consentimiento válido expresado por parte del titular de los datos; (ii) el cumplimiento de la obligación de informar acerca  de cuáles son las condiciones en las que se pueden ejercer los derechos reconocidos en este ámbito a todas las personas; y, finalmente, (iii) la expresión, entre otras obligaciones legales, de la finalidad para la que dichos datos de carácter personal van a ser utilizados.

c). El aportar contactos de empresas anteriores. A la hora de entrar a formar parte de una empresa, es bastante frecuente, que tanto directivos como trabajadores incluyan numerosos datos de clientes que gestionaban en otra empresa o incluso de ámbito personal.

Se produce, pues, de manera habitual, lo que se denomina una comunicación ilegal de datos, ya que este tipo de datos no pueden incluirse sin más en la base de datos de la empresa a la que va prestar sus servicios dicho nuevo directivo o trabajador, sino que se hace necesario disponer de una base de legitimación, lo que de ordinario se concreta en el consentimiento del titular de los datos que permita el trasvase o la cesión de dichos datos de una empresa a otra.

De manera habitual esta situación determina que se haga necesario volver a conseguir de nuevo ese consentimiento del titular de los datos, para llevar a cabo el tratamiento de datos personales pretendido, cosa que en muchos casos no se realiza.

d). La realización de Spam y email de carácter publicitarios. Constituye una práctica habitual que las empresas realice el envío de mails masivos de publicidad, utilizando numerosas direcciones de correo electrónico que se tienen almacenadas en sus bases de datos, pero que en muchas ocasiones no dispone ni del consentimiento de los titulares de las mismas, ni tampoco de otra base de justificación que haga legal dicho tratamiento de datos de carácter personal.

También es frecuente que no todos los contactos conozcan la finalidad del tratamiento de sus datos personales, y ello debe hacerse extensivo a la falta de conocimiento sobre las condiciones y circunstancias donde los interesados, pueden ejercer los derechos que les asisten relativos a la protección de datos de carácter personal, tal como antes quedo indicado.

Este supuesto, hoy en día se hace extensivo a la creación, por ejemplo, de grupos de WhatsApp, donde se requiere el consentimiento de todos los que intervienen con relación a los números de teléfono de los demás intervinientes, y que de ordinario no se obtiene ni con carácter previo, ni posteriormente a su utilización.

e). El no disponer del contrato de tratamiento de datos con encargados de tratamiento o con terceros.

En las PYMES es habitual la contratación de servicios de otras empresas para que realicen algún tipo de actividad en concreto, y en la cual se tratan datos personales de los que no son titulares.

Como ejemplo típico y muy habitual es la contratación de los servicios de una gestoría para que gestione la parte administrativa (nóminas, seguros sociales, IVA, impuesto de sociedades, etc.)

En estos casos es necesario que se formalice con carácter previo, expreso y por escrito un contrato de tratamiento de datos entre la PYME y la empresa encargada del tratamiento de datos, donde se indiquen las exigencias contempladas en el Reglamento (UE) 2016/679, y desde luego donde se haga patente el buen uso por parte de esta última, de los datos personales que la empresa pone a disposición.

f).  Otra circunstancia bastante reiterada, hace referencia al hecho de no incluir datos identificativos básicos en la web.

En este sentido, debe tenerse en cuenta que todas las empresas que dispongan de página web, además de cumplir con las obligaciones marcadas en la normativa propia de dicha protección de datos de carácter personal, deben cumplir con las obligaciones recogidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE), por la que se establece la obligación consistente en la necesidad de proceder a informar de una serie de datos identificativos de la empresa titular de la página web, para que los mismos estén a disposición de los usuarios de la misma.

g). La falta de política de privacidad y aviso de uso de cookies.

Las empresas que disponen de una página web están obligadas a informar y obtener el consentimiento de sus usuarios para la instalación y el uso de cookies en las mismas, así como a la publicación de los avisos legales y las políticas de privacidad, detallando y comunicando al usuario la utilización de los datos personales que pretender hacer la empresa, para que por parte del titular de los datos sea conocedor de estas circunstancias.

Todo ello ha determinado, consiguientemente, que hoy en día exista una problemática propia de las Pymes en su relación con la protección de datos de carácter personal, y el nivel de concienciación sobre el cumplimiento de la dicha normativa.

LA INTENSIDAD DE LA REGULACIÓN LO AGRAVA

Este factor se ve agravado obviamente por la intensidad que está alcanzando esta regulación, y las obligaciones que se deprenden de ella para el empresario, sin olvidar los costes que se derivan de dichas exigencias de cumplimiento, lo conduce de manera necesaria a que se preste una especial atención a esta tipologías de empresas, teniendo en cuenta que los modelos de cumplimiento no se encuentran adaptados  en muchos de los casos, precisamente, ni a su problemática, ni a su estructura y tampoco a sus recursos.

En este sentido, de manera reciente, la Agencia Española de Protección de Datos, con el apoyo de la Confederación Española de la Pequeña y la Mediana Empresa (CEPYME)[ii], han tratado de acercarse a estas especiales circunstancias de estas empresas, y establecer métricas con relación al impacto que el cumplimiento del nuevo Reglamento (UE) 2016/679, va a tener en las pequeñas y en las medianas empresas, lo que proporciona un conocimiento mucho más real de su problemática, que permitan extraer un mejor conocimiento de dicha situación y la producción de conclusiones que mejoren el nivel de cumplimiento colectivo sobre esta materia.

Así se ha señalado que las Pymes que gestionan recursos, con datos personales asociados, que han hecho o no determinadas cosas en orden a su protección, que conocen o no las nuevas obligaciones, que tienen determinadas percepciones sustentadas en su experiencia y en su conocimiento, es decir, en su interacción con la realidad, y que comparten o no algunas ideas básicas sobre los datos y su protección, están en disposición más o menos positiva (actitud) de emprender determinadas actuaciones, relevantes en cuanto a la protección de datos.

Los recursos que gestionan con más frecuencia las empresas de menor dimensión se concentran en tres agregados principales: los datos de clientes, proveedores y empleados, que son tratados por prácticamente todas las empresas(del 97% al 92%) y, en menor medida, los recursos relativos a videovigilancia (38%) y formularios en Internet (17%).

CONOCIMIENTO DEL REGLAMENTO POR PARTE DE LAS PYMES

Con relación al conocimiento que en la actualidad poseen las Pymes del Reglamento (UE) 2016/679, puede afirmarse que,la extensión de dicho conocimiento de la normativa actual supera en general un porcentaje del 50%, siendo éste, algo moderado:

a). El conocimiento del Reglamento (RGDP) alcanza a un 63% de las Pymes.

b). La obligación de elaborar el registro de actividades le consta a un60%.

c). Las nuevas obligaciones del responsable del tratamiento son conocidas por el 59% de lasPymes.

En general, la percepción de la protección de datos en las Pymes, entendida ésta como el modo enel que estas entidades afectadas por el cambio normativo procesan su impacto, espositiva, y se verifica que el impacto producido por la normativa y, especialmente,loscambiosrecientes, también lo son.

Así:

a). Alrededor de 8 de cada 10 Pymes perciben como positiva la normativa de protección de datos.

b). Casi 9 de cada 10 Pymes considera, que el Reglamento es mejor que la normativa anterior en materia de protección dedatos.

No obstante, tal como señalan tanto la AEPD y la CEPYME, se ha de resaltar que entre las empresas que no valoran positivamente la normativa se detecta, que ésta no se adapta bien a los recursos de que disponen las Pymes, y, que la exigencia de dotar de más recursos para su cumplimiento, así como la aplicación de sanciones, podría poner enpeligro la situación actual de lasempresas de menor tamaño, impidiendo el desarrollonormaldesuactividad.

Por todo ello, se puede afirmar que las Pymes hoy en día comparten una visión positiva sobre la protección de los datos de carácter personal.

No obstante, es destacable la distancia que se produceentre la consideración general de la protección de datos y la consideración de los datos como activo valioso de un negocio, aspecto éste mucho menos detectado por las empresas, y que, por tanto, no refuerza el impulso de la protección.

RIESGOS MANIFIESTOS O LATENTES

El estudio realizado llega a la conclusión en la interrelación Pymes y protección de datos que desde una perspectiva global, sobre una realidad dominada por tres recursos diferenciados: (i) los clientes; (ii) los proveedores;  y (iii) los empleados, la posición mayoritaria de las Pymes es positiva en términos de actuación, de percepción, de visión y de actitud en relación con la protección de datos, pero no sin algunos riesgos manifiestos o latentes, entre los que cabe destacar y así se destacan los siguientes:

a). El pequeño tamaño de estas organizaciones encierra el riesgo de que se deteriore su percepción de la protección de datos debido a los costes, a los recursos que requiere, a la posibilidad de sanciones por incumplimiento y a que, en consecuencia, interfiera en su actividad excesivamente.

b). Este riesgo no se compensa por la valoración que realizan las Pymes sobre los datos como un activo importante, propuesta que está adquiriendo cada vez mayor protagonismo con la digitalización,pero que, en el ámbito de la gestión activa de la protección de datos aún no ha tiene la penetración suficiente.

ACCIONES A REALIZAR

Por tanto, desde esta perspectiva es procedente la realización de las siguientes acciones: (i) extender el conocimiento; (ii) dimensionar bien las herramientas de implantación y las propias acciones de implantación, y ello de acuerdo con los recursos a gestionar y el tamaño de las empresas; (iii) así como extender y profundizar la comprensión de los datos como fuente de valor.

Todas ellas representan condiciones que, sin duda, favorecerán el éxito del Reglamento (UE) 2016/679, sobre la base de una percepción y una idea general netamente positivas de esta regulación por parte de las Pymes.

—————-

[i]Prevensystem hace la clasificación de las principales dificultades o errores de cumplimiento que llevan a cabo las Pymes, a la hora de enfrentarse en general con la normativa relativa a la protección de datos de carácter personal.

Cfr.: PREVENSYSTEM. “Los errores más comunes de las PYMES en la gestión de la LOPD”. 17 de abril de 2018.

[ii]Cfr.: Agencia Española de Protección de Datos, y Confederación Española de la Pequeña y la Mediana Empresa. “Encuesta sobre el grado de preparación de las empresas españolas ante el Reglamento General de Protección de Datos. Informe Ejecutivo”. Abril y mayo de 2018.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano