Superado ya el primer año de la aplicación del Reglamento Europeo de Protección de datos, y más de un semestre desde la aplicación de la Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, muchas empresas continúan sin adaptar su plan de protección de datos a estas normas y sin tener la más mínima conciencia del riesgo. La necesidad o la obligatoriedad de cumplir con la protección de datos en pymes o micropyes es una cuestión que aún genera muchas dudas.
Para estas empresas –aunque aplica la obligación de cumplimiento tanto como a las grandes empresas– la ley prevé la simplificación de algunas de estas obligaciones cuando se trate de sectores de bajo riesgo o de empresas más pequeñas. Esto no significa bajar la guardia, sino que el cumplimiento no tiene por qué suponer un agobio de responsabilidades, sino un plan de prevención que genere tranquilidad al empresario, fortalezca el respeto de los empleados, y aumente la confianza en sus clientes.
El máximo de la sanción por incumplimiento de las normativas de protección de datos en pymes y en el resto de empresas viene a fijarse por el Reglamento en los 20 millones de euros o en 4% de la facturación anual del ejercicio anterior. Por menos de la quinta parte de esta sanción, una pyme podría ver imposibilitada la continuidad de su negocio. Además de la afectación económica, una empresa sancionada por no proteger adecuadamente los datos personales, puede perder parcial totalmente la confianza de sus clientes de forma irreversible, lo que en ocasiones puede ser más grave para la continuidad del negocio que la propia sanción.
Las empresas más pequeñas, que por razones económicas externalizan los servicios de protección de datos, deben asegurarse de la verdadera especialización y formación de sus asesores, para garantizar realmente el cumplimiento. Los servicios gratuitos o muy por debajo de mercado deben generar alerta y desconfianza en el Responsable, porque salvo que se trate de entidades sin animo de lucro, ningún profesional de la privacidad certificado regala sus horas. La falsa seguridad creada por asesores con escasa formación suele tener consecuencias devastadoras para el Responsable.
Con la nueva regulación basada en el cumplimiento con enfoque de riesgos, el balón está en manos del Responsable, que deberá aplicar las medidas de prevención, detección y respuesta, encaminadas a proteger la confidencialidad, integridad, disponibilidad y resiliencia de la información según el riesgo detectado. Acreditar que no ha sido correctamente asesorado no le librará de la responsabilidad frente a la autoridad de control.
No debe ser la cultura del miedo el principal motor del cumplimiento, puesto que las empresas que pretendan realizar exclusivamente lo indispensable para no ser sancionadas, terminarán haciendo menos de lo exigido y serán, sin duda, las más propensas a fallar. El análisis de riesgos no puede buscar evaluar la probabilidad o el impacto de que se sancione a la propia empresa, sino que deberá evaluar el potencial daño a la privacidad de las personas físicas. El cumplimiento, para ser efectivo, debe venir guiado por la conciencia del respeto a la privacidad de clientes, empleados, proveedores, y del resto de interesados.
Lilliam Valenzuela
Socia responsable de Legal.