El nuevo Reglamento Europeo de Protección de Datos (en adelante, RGPD) se ha convertido en todo un reto para las empresas en lo que respecta a su debido cumplimiento y los riesgos asociados al mismo de cara a su actividad económica. Uno de los principales inconvenientes prácticos con los que se encuentran las empresas a la hora de implementar el RGPD es el nuevo concepto de consentimiento en relación con la capacidad de mantener a los clientes ya captados y registrados en sus bases de datos. El consentimiento ahora se entiende como una “acción afirmativa” por parte del interesado. Ello implica, en primer lugar, que no se podrán continuar utilizando las casillas “pre-marcadas” en las páginas web, y en segundo lugar, la necesidad de requerir de nuevo a los clientes el tipo de consentimiento que cumpla con la nueva normativa europea. En este aspecto es donde aparece la problemática en el sector del marketing, especialmente en torno las newsletters. Muchas empresas han optado por asumir un mayor riesgo y no solicitar nuevo consentimiento por parte de los clientes registrados en sus bases de datos acogiéndose al interés legítimo de la empresa, con la debida mención al derecho de oposición al tratamiento recogido en el artículo 21 del texto legal. Sin embargo, el interés legítimo supone poner en una balanza el interés del empresario, y los derechos y libertades de los interesados, de modo que el riesgo asumido y la posible sanción dependerán de la interpretación de este artículo respecto de la realidad de la situación. De forma especialmente relevante, debe tenerse en cuenta el tratamiento de los datos de menores de edad, que se regulará, además, por lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y se primará el uso de un lenguaje simple y fácilmente comprensible.
La responsabilidad proactiva es otra de las cuestiones clave que coloca a las empresas en el punto de mira como principales responsables del cumplimiento del RGPD. Con la nueva legislación, es la empresa quien deberá ser capaz de probar el cumplimiento, eliminándose en consecuencia los registros en la Agencia Española de Protección de Datos. Los medios probatorios más habituales son los correos electrónicos, aunque también se ha llegado a optar por los sellados notariales. Dada la naturaleza técnica y organizativa de las medidas que se pueden implementar, es asimismo cumplimiento de la normativa el mantener bajo llave la documentación más sensible, cambiar la posición de las pantallas de los ordenadores de modo que no se dirijan a espacios abiertos, no apuntar contraseñas y mantener la opción de autoguardado en los ordenadores, no utilizar borradores que contengan datos personales, evitar llevar faena de la oficina a casa (especialmente, de cara a la problemática de los borradores), destruir documentos conforme el sistema DIN 66399, o evitar el uso de memorias externas y utilizar los almacenamientos de datos en la nube. Esta nueva forma de gestión del tratamiento de datos por parte de las empresas hace que éstas se encuentren con ciertas situaciones de riesgo, como podría ocurrir en el contexto de despidos o EREs, en los que se vuelven vulnerables ante la posibilidad de ser notificadas a la Agencia Española de Protección de Datos como infractoras en esta materia por parte de sus empleados. Por ello, es importante el Delegado de Protección de Datos como figura que vela por el cumplimiento del RGPD, así como la existencia de un encargado del tratamiento, en su caso, y del correspondiente contrato entre dicho encargado y el responsable del tratamiento. En las relaciones empresariales serán muy importantes los programas de compliance para asegurar un correcto cumplimiento en materia de protección de datos.
En definitiva, desde la implementación del nuevo RGPD el 25 de mayo de 2018 hasta el mes de septiembre del mismo año no se han registrado sanciones aplicadas a los responsables del tratamiento. En adelante, las empresas e individuos que actúen como responsables del tratamiento de datos deberán decidir si asumir un mayor riesgo mediante la aplicación de distintas opciones dentro del texto legal, o cumplir con el sentido más literal de la normativa. Ante un mayor cumplimiento, le sigue un menor riesgo, y viceversa. Sin embargo, en un nivel de máximo cumplimiento queda constatado en la práctica cómo ello puede llegar a paralizar el desarrollo empresarial, especialmente debido al impacto en el marketing. De este modo, quedará por ver la actuación de los responsables y las opciones de protección que aplicarán en adelante, junto con las consecuencias que ello pueda comportar.
