Esta semana (en concreto, desde el 25 de mayo) será de obligado cumplimiento en todos los Estados Miembros de la Unión Europea, el nuevo GDPR o Reglamento General de Protección de Datos, que regula el tratamiento de los datos de carácter personal y prevé multas millonarias para quien lo incumpla.
Si bien es una norma de directa aplicación en toda Europa, que no necesita una Ley de Transposición Nacional, en general todos los países deberán adaptar su normativa al nuevo modelo que supone un cambio radical de planteamiento. Pasamos así de un régimen reactivo en la protección de los datos personales a uno preventivo, donde el consentimiento previo y fehaciente será la base legitimadora del tratamiento de los datos que se haga después.
España es uno de los países más adelantados en la adaptación de la normativa nacional con la tramitación del anteproyecto de ley que modificará la Ley Orgánica de Protección de Datos (LOPD), que se encuentra ya en la fase de debate parlamentario tras la asombrosa cantidad de enmiendas presentadas y que están siendo discutidas entre los Grupos políticos. Esto demuestra la importancia de un asunto crítico para las empresas cuya actividad implique realizar cualquier tratamiento de datos.
Es necesario que la nueva ley española se adapte lo máximo posible al reglamento europeo, pero sin establecer claras diferencias o imponer nuevas obligaciones y cargas que dejen a las empresas españolas en desventaja competitiva con respecto al resto de países europeos.
La protección de la privacidad supone un reto para la prestación de los servicios digitales tanto privados como públicos, y deberá conciliarse con el desarrollo de una industria digital europea que sea capaz de atender la demanda de unos servicios cada vez más personalizados que facilitan la vida del ciudadano, y que exigen un tratamiento de sus datos.
El reglamento, que prevé multas que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, crea la figura del delegado de Protección de Datos (DPO) y estipula que el consentimiento para el uso de los datos tiene que ser inequívoco y verificable, y no tácito como hasta ahora.
Esto significa que se pasa de un marco reactivo a uno preventivo, lo que requerirá que los poderes públicos sean sensibles al tiempo de adaptación de los procesos de las empresas a la nueva normativa, especialmente en lo relativo a las bases del consentimiento.
Esta adaptación pasa necesariamente por un nuevo modelo de relación con el cliente. Todas las empresas coinciden en señalar que la privacidad y la gestión de los datos de los clientes pasará a convertirse en una ventaja competitiva para los negocios, basada en la confianza depositada por el cliente y en la transparencia de la empresa a la hora de informar sobre el tratamiento de sus datos.
Por ello es muy importante tanto informar sobre la finalidad del tratamiento de los datos de carácter personal, como que el consentimiento otorgado cubra la totalidad de los tratamientos para los que se solicita. Es necesario ofrecer al cliente una nueva propuesta de privacidad que cumpla con sus expectativas razonables y que mejore el canal de interlocución, permitiendo al usuario disfrutar de uno servicios seguros e innovadores en un escenario de transformación digital continua.
Alicia Richart
Directora General de DigitalES