Algunas de las grandes redes sociales, aquellas que manejan ingentes cantidades de datos de millones de personas, obligan estos últimos días a sus usuarios a firmar un nuevo protocolo para proteger mejor toda esa información. No es casual. Ni está directamente relacionado con el caso Facebook, ese en el que una fuga cargada de datos sensibles pudo decantar la elección de Donald Trump como presidente de los Estados Unidos. Es la Unión Europea la que obliga ahora a las compañías, tanto a las grandes como a las pequeñas, a ser mucho más cuidadosas y a poner el candado a mucha de esa información. Todas deberán adaptar su forma de trabajar y de tratar los nombres, direcciones y demás registros que tengan guardados antes del próximo viernes día 25, que es cuando la norma de Bruselas empieza a ser de obligado cumplimiento, después del plazo de dos años que han tenido las empresas para adaptarse al llamado Reglamento General de Protección de Datos (RGPD). Las firmas gallegas van algo rezagadas en esta carrera.

"Es un punto y seguido respecto a las obligaciones que teníamos hasta ahora en materia de protección de datos, pero supone un cambio de paradigma, porque varían sustancialmente las obligaciones", explica el abogado Víctor Salgado, del bufete Pintos&Salgado, especializado en derecho informático. Este mismo mes impartió un taller para la adaptación a la normativa en la Confederación de Empresarios de A Coruña y, según constata, entre las empresas "hay muchísima preocupación" ya que ven -indica este experto- que se acerca "peligrosamente" el 25 de mayo y "desgraciadamente la mayor parte de las organizaciones están bastante lejos de tener un nivel óptimo de cumplimiento".

Tras la entrada en vigor del reglamento hace dos años, las compañías deberán ser ahora más meticulosas y estar preparadas para poder demostrar su cumplimiento en todo momento. "Antes servía el consentimiento tácito, pero ahora tendrá que ser explícito. Por eso los consumidores estamos recibiendo tantas comunicaciones de entidades que nos solicitan permiso expreso sobre nuestros datos, con casillas desmarcadas en las que debemos aceptar cada utilización por separado", expone Salgado.

Haz click para ampliar el gráfico

El espíritu de la norma es unificar las reglas para las empresas que operan en los países europeos y dar más garantías al consumidor. Desaparecen los tres niveles de protección (alto, medio y bajo) de la norma anterior, con lo que el empresario pasa a tener "más flexibilidad para tratar los datos", dice Salgado, pero a la vez "la responsabilidad del tratamiento es mayor". "Es como si nos hiciésemos mayores de edad", ejemplifica este experto. Además, la empresa tendrá que ser capaz de probar en cualquier momento que las medidas que aplica para cumplir la normativa son proporcionadas y efectivas y que las pone en práctica de manera adecuada.

Las empresas deberán ser más cautas, responsables y hacer un ejercicio de reflexión sobre la información que se tiene almacenada. La Agencia de Protección de Datos ha editado una guía con los pasos a seguir. Uno de los primeros es realizar un análisis de riesgos, para intentar determinar posibles fugas de datos y amenazas, además de obtener el consentimiento para el tratamiento de todos ellos de nuevo, con formularios más detallados en los que se explique de forma minuciosa cómo va a ser tratada toda esa información y por cuánto tiempo se va a almacenar en los servidores y discos duros.

Las entidades han tenido dos años para hacer los deberes, pero "como buenos españoles vamos con el tiempo pillado y la mayoría de las empresas lo ha dejado para el final", corrobora la gestora administrativa Bárbara Vega. Las consultas recibidas en su despacho se han multiplicado en las últimas semanas. Vega recuerda que la norma afecta tanto a empresas y administraciones como a todo tipo de autónomos y profesionales y destaca la importancia de ponerse al día para evitar riesgos. La especialista en gestión administrativa señala que si, por ejemplo, un cliente denuncia a un autónomo por haberle enviado un WhatsApp y este no tiene manera de justificar que lo autorizó esa persona, "tiene un problema". La amenaza a la que se expone quien no se ajuste a la norma es una sanción y, según advierte Víctor Salgado, "lo mínimo son varios miles de euros".

Será la Agencia Española de Protección de Datos la encargada de ajustar las multas a la gravedad del incumplimiento y al tamaño de la organización en cada caso. El abogado explica que habrá "dos niveles de sanciones". Las primeras pueden llegar a los 10 millones de euros o al 2% del volumen de facturación de la empresa ("la cantidad que sea más alta", precisa). Las más graves pueden alcanzar los 20 millones de euros o el 4% de la facturación, para las empresas más grandes, como Google o Facebook.

Las administraciones y las compañías de más de 250 trabajadores o que traten diariamente con información sensible estarán obligadas a disponer de un "delegado de protección de datos". Puede ser una persona externa a la empresa o un empleado de la firma que se encargue de ese trabajo. Deberá realizar auditorías y evaluaciones de impacto en materia de privacidad, para evitar acciones que puedan poner en riesgo datos personales.

Si a pesar de todas las cautelas se llega a producir una filtración de datos (como en el caso de un ataque informático), la nueva norma obliga a la empresa a ponerlo en conocimiento de las autoridades -y en algunos casos también de los afectados- en un máximo de 72 horas. "Las grandes empresas han tendido a tapar este tipo de situaciones por miedo a la mala imagen; a partir del día 25 veremos quién es el primero en ponerle el cascabel al gato", analiza Salgado.

Para la empresa "aumenta la burocracia en la toma de datos y habrá que andar con mucho más cuidado", resume Bárbara Vega. Para el consumidor "hay un gran beneficio porque se potencian los derechos", añade Víctor Salgado. Las compañías tendrán que avisar cuando vayan a hacer una portabilidad de la información. Eso podría evitar situaciones como el sonado caso Facebook, que cedió miles de datos de sus usuarios a la empresa Cambridge Analytica. Esa filtración pudo tener una influencia decisiva sobre la elección del presidente de EEUU, Donald Trump, o sobre la victoria del en el referéndum para decidir si Reino Unido abandonaba la Unión Europea. Se prevé que Mark Zuckerberg, presidente de esta red social, comparezca ante el Parlamento Europeo para dar explicaciones.