Cuando el legislador europeo puso manos a la obra y dio a luz al Reglamento Europeo de Protección de Datos (RGPD) sólo tenía una cosa en mente, garantizar que nuestro derecho al honor y a la intimidad estuviera suficientemente protegido y fuera respetado por aquellos que disponen de nuestros datos personales.
Y el bebé echó a andar y los medios se llenaron de noticias sobre interpretaciones de la norma o sanciones a grandes empresas. Pero ¿de verdad es ahí donde deberíamos poner el foco? ¿Es esa la realidad de la aplicación de esta normativa en España? Me temo que no.
Cuando el legislador habla del “responsable de tratamiento de datos”, se está refiriendo a cualquier entidad que trate datos personales, sin discriminar por tamaño o tipo de entidad. Así, en España, sin contar a la Administración pública, tenemos unos 3 millones de responsables, que deberían estar cumpliendo con la norma. De esos 3 millones, sólo 4.500 corresponden a empresas grandes (las que salen en los medios). ¿Y qué pasa con el resto de casi 3 millones?
Bueno, pues si nos fijamos en las cifras del último informe de estadística Cifras PYME, del Ministerio de Economía, Industria y Competitividad, de enero de 2018, podemos ver que hay 1.535.472 de autónomos, 1.135.054 de microempresas (1-9 asalariados), 149.320 pequeñas (10-49 asalariados), 23.402 medianas (50-249 asalariados) y, finalmente las 4.487 grandes (250 o más asalariados). Es decir, un total de 2.847.735 empresas.
Pero ahí no acaba la cosa, ese es sólo el tejido industrial español, pero la norma no afecta sólo a las empresas, sino a todas las entidades que traten datos personales. Así, deberíamos contabilizar también a entidades privadas de carácter voluntario y sin ánimo de lucro que conforman el Tercer Sector, como son las asociaciones, fundaciones y agrupaciones de estas -federaciones, confederaciones-. Además, habría que incluir determinadas formas de organización que operan en la economía social tales como cooperativas sociales, los centros especiales de empleo y las empresas de inserción. Todas estas entidades sumarían un total de 29.000 responsables de tratamiento de datos personales, según los datos del III Plan Estratégico del Tercer Sector de Acción Social 2017-2021.
El peso del cumplimiento de la norma recae en las entidades con menor estructura y, por ende, menos recursos para poder hacerlo con la diligencia debida
En otras palabras, si hiciéramos un gráfico en forma circular donde reflejáramos por un lado las empresas medianas y grandes, es decir, todas las que tienen más de 50 asalariados, y por otro, el resto de entidades, nos quedaría un queso entero al que alguien clavó un cuchillo y sólo cortó una loncha fina para catarlo.
Es decir, el peso del cumplimiento de la norma recae en las entidades con menor estructura y, por ende, menos recursos para poder hacerlo con la diligencia debida.
Sólo hay que ponerse en la piel de esas miles de entidades sociales, gestionadas la mayoría únicamente por voluntarios y que en buena parte de los casos están tratando datos sensibles ya que se dedican a sectores vulnerables (menores, personas con discapacidad, mujeres maltratadas, personas en riesgo de exclusión…). Por mucha buena voluntad que tengan, es difícil que sin presupuesto puedan adecuarse debidamente a la norma y, en definitiva, garanticen la protección de esos datos personales.
Conozco bien ese sector, ya que siempre me ha interesado la acción social y procuro aportar mi granito de arena. He dado charlas a representantes de asociaciones que, con cierta desesperación, venían a tomar nota de lo que debían hacer y a los que las posibles sanciones por incumplimiento de la norma no es precisamente el acicate que les hace reaccionar sino la preocupación por proteger los derechos de la gente que confía en ellos. Además, precisamente porque tratan datos sensibles, no pueden utilizar la herramienta FACILITA, promovida por la Agencia Española de Protección de Datos ya que sólo ayuda a entidades que realicen un tratamiento de datos personales de escaso riesgo.
¿En qué situación se encuentran? En definitiva, para cumplir con la norma han de estar totalmente concienciados y asumir un gran esfuerzo. ¿En cuántos casos se dan ambos requisitos, realmente?
Algo similar les ocurre a los autónomos, microempresas y pequeñas empresas, que en la mayoría de los casos están acostumbrados a ejercer de hombres-orquesta, por aquello de reducir los gastos al máximo. Y aunque muchos de ellos sí podrían utilizar la mencionada herramienta FACILITA, lo cierto es que les falta el tiempo y el conocimiento básico en privacidad, que sería preciso para hacer las cosas realmente bien. En muchos casos se limitan a tener una documentación que no entienden y que, por tanto, no sirve para nada. Mera apariencia de cumplimiento.
Estas empresas, de presupuestos ajustados, son presa fácil de la mala praxis de muchas consultoras que aprovechando las circunstancias ofrecen servicios de dudosa calidad
Estas empresas, de presupuestos ajustados, son presa fácil de la mala praxis de muchas consultoras que aprovechando las circunstancias ofrecen servicios de dudosa calidad. La propia Agencia Española de Protección de datos ha avisadoen numerosas ocasiones acerca de las prácticas de ciertas empresas que ofrecen la adecuación al RGPD con cargo a programas de formación para empleados, u otras prácticas similares, que se han denominado “a coste cero”. Los que nos dedicamos a la protección de datos estamos acostumbrados a que, ante el presupuesto que presentamos a potenciales clientes, éstos nos contesten que tal o cual consultora les ha ofrecido hacerlo por precios irrisorios. Como profesionales del sector sólo nos queda aconsejarles sobre el peligro de aceptar ciertas propuestas y ver impotentes cómo, en muchos casos, la protección de datos es visualizada como una carga y no como una responsabilidad que hay que asumir.
No cabe duda que el objeto de la norma merece que todos hagamos el esfuerzo por cumplirla, ya que son nuestros derechos fundamentales los que se están protegiendo, pero cuando el peso del cumplimiento recae de tal manera sobre este grueso de entidades, sin una cultura previa en privacidad, sin la concienciación que hace falta, es muy complicado que vayan a hacerlo tal y como exige la norma para que realmente nuestros derechos estén protegidos.
Hace falta todavía mucha formación en esta materia para que sea interiorizada y asumida como algo imprescindible dentro de cualquier organización. Hasta entonces, será difícil afirmar que esta ley es realmente eficaz.
Maite Sanz de Galdeano (@maitesdg) es abogada y DPD, especializada en Protección de datos y Derecho Digital en Welaw.
Te puede interesar
Lo más visto
- 1 Muface: las novedades del contrato que ultima el Gobierno
- 2 Las revelaciones sobre el Fiscal General revolucionan a Ayuso
- 3 Imane Khelif contra el odio: “Represento a las mujeres del mundo”
- 4 Los claroscuros de la duquesa roja: lesbiana y cercana a ETA
- 5 Perdóname, Pedro, por haber desconfiado del fiscal y de tu palabra
- 6 El extraño caso del teléfono vacío
- 7 Comprobar Lotería de Navidad 2024 - El Independiente
- 8 Sánchez elogia a Mohamed VI y defiende a Marruecos en UE
- 9 El teniente Lacalle salvó a 500 personas de la DANA en Chiva