El RGPD: nueva normativa europea desde 2018

El 25 de mayo de 2018 entró en vigor el nuevo Reglamento general de protección de datos (RGPD), una reforma sobre la protección de datos a nivel europeo en la que estuvieron trabajando el Parlamento Europeo y el Consejo durante 5 años. Antes de su implantación, se aplicaba la Directiva 95/46/CE de 1995; pero los cambios tecnológicos de las últimas décadas han propiciado su revisión, y es que hay que tener en cuenta que en 1995 Internet todavía estaba dando sus primeros pasos. Hoy en día, la protección de los datos a nivel europeo debe ocuparse de conceptos como el big data, la Industria 4.0, la robótica o la inteligencia artificial (IA), de ahí que surgiera la necesidad de incluir novedades en el RGPD.

El objetivo del RGPD es regular de manera uniforme el tratamiento de los datos, lo que plantea dos cuestiones para las empresas: ¿en qué consisten las nuevas regulaciones?, ¿qué deben tener en cuenta las empresas y los administradores de páginas web? Desde que la normativa entrara en vigor el 25 de mayo de 2018, han tenido lugar ciertos cambiosen el comercio online y en la protección de los datos de los trabajadores en las empresas. A continuación, te ofrecemos un resumen de la nueva situación jurídica y te detallamos las medidas que debes aplicar en tu empresa.

A escala europea, las leyes suelen prolongarse en el tiempo, incluso después de entrar en vigor oficialmente. Así, una vez acordada una directiva europea tras largos debates en el Parlamento de Bruselas, los 28 Estados miembros conceden amplios períodos transitorios para que las jurisprudencias nacionales asuman la ley. También puede pasar mucho tiempo hasta que finalmente se presiona a las empresas para que apliquen la nueva normativa.

Pero, además de directivas, hay un segundo tipo de normativa europea: los reglamentos. Estos no ofrecen libertades temporales ni tampoco de contenido, sino que son jurídicamente vinculantes y aplicables de inmediato para todos los Estados (afectando así, también, a la práctica empresarial de toda pyme). Este es el caso del RGPD, que no es una directriz, sino un reglamento.

En mayo de 2016 entró en vigor el Reglamento europeo de protección de datos con un período transitorio de dos años y el 25 de mayo de 2018 pasó a aplicarse en todos los Estados miembros como ley de protección de datos oficial y, por lo tanto, superior a la normativa nacional. Esto significa que ya no se concedía ningún otro período transitorio. Así, todas las empresas y autoridades públicas que trabajan con datos personales deben aplicar desde entonces las nuevas disposiciones de la Unión Europea sobre protección de datos y tomar las medidas necesarias en sus operaciones.

Sin embargo, no parece que el nivel de concienciación fuera homogéneo entre las empresas, tanto a nivel europeo como internacional. En septiembre de 2018, cuatro meses después de la definitiva entrada en vigor del Reglamento, un estudio de la empresa líder en integración de datos en la nube Talend reveló que el 70 % de las empresas aún no estaban cumpliendo con lo que marca la orden europea, en concreto, con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD. El estudio tomó como objeto a 103 empresas de todo el mundo y dejó ver, sorprendentemente, que las que más se esforzaban en cumplir con el Reglamento procedían de fuera del área comunitaria (con un 50 % frente a un 35 % europeo).

Otro dato relevante es el aumento de las reclamaciones relativas a la protección de sus datos personales que tramitaron los consumidores en los meses siguientes a su implantación. Francia e Italia registraron un aumento de denuncias del 53 %, y la AEPD, de un 33%. No obstante, son diversas las fuentes que afirman que, a día de hoy (enero de 2019) y tras una dificultosa adaptación, la mayoría de las empresas han logrado aplicar los cambios requeridos para operar en conformidad con el RGPD con total normalidad.

Sobra decir que la mayor parte de los obstáculos no se debían a la ignorancia, sino más bien a la inseguridad jurídica y a una falta de claridad al respecto de los cambios necesarios para aplicar correctamente el Reglamento. Otro factor que confluyó en el clima de nerviosismo tuvo que ver con las sanciones programadas en la Orden, que pueden ascender a hasta los 20 millones de euros o hasta el 4  % del volumen de ventas mundial del ejercicio fiscal anterior si no se cumple la normativa europea. A finales de 2018 ya tuvieron lugar, incluso, las primeras sanciones.

Los reglamentos europeos tienen prioridad sobre las leyes nacionales y prevalecen en caso de contradicciones. No obstante, el RGPD contiene algunas cláusulas de apertura que permiten a los Estados atenuar o intensificar ciertas reglas. Así, en diciembre de 2018 entró en vigor la nueva Ley Orgánica de Protección de Datos y garantía de los derechos personales (LOPD GDD), que deroga la antigua LOPD de 1999 y da cobertura al RGPD a nivel nacional. Para las empresas esto significa que las directrices del RGPD no se ven modificadas, sino ratificadas.

El objetivo principal del RGPD es unificar los principios de protección de datos de la Unión Europea. Aunque anteriormente la directiva de 1995 se aplicaba de manera diferente a cada Estado miembro, el nuevo Reglamento ofrece poco margen para iniciativas nacionales.

Otro ámbito al que se dirige el RGPD está relacionado con los grandes cambios tecnológicos de losúltimos 25 años y con los futuros desarrollos técnicos, por lo que la protección de datos todavía se enfrenta a muchos retos. Un ejemplo de ello es que la recopilación de los datos biométricos de los trabajadores es obligatoria en algunas profesiones con máquinas inteligentes. Si una empresa trata dichos datos con cautela, esto no supone ningún problema. El problema se plantea si la empresa, después de haber obtenido dichos datos, se ve tentada a utilizarlos para otros fines como, por ejemplo, el control del rendimiento. A este tipo de utilización de los datos personales debe responder el Reglamento europeo de protección de datos.

Un resumen de las disposiciones del Reglamento de protección de datos debe, en primer lugar, recoger las modificaciones relacionadas con los datos personales. En este aspecto es donde el Reglamento europeo de protección de datos ha introducido los cambios más importantes: si bien no en las dimensiones como estaba planeado, el RGPD ha reforzado visiblemente la protección de los datos de los particulares. Las diferentes disposiciones en este sentido regulan de manera comprensible y adecuada su recopilación.

Con ello, por ejemplo, se amplía la responsabilidad proactiva de las empresas (accountability). Esto quiere decir que las empresas están sujetas a obligaciones más detalladas de documentación con respecto a los datos que recopilan, los objetivos de su utilización y la forma de procesarlos. En este sentido, el Reglamento general de protección de datos supone principalmente un gran volumen de trabajo en términos de documentación, por lo que las empresas que en su momento ya daban valor a la privacidad y confeccionaban un listado con los procedimientos de tratamiento de datos, lo tuvieron mucho más fácil al aplicar el Reglamento.

En general, el RGPD no recoge una nueva reorganización de la política de protección de datos, sino que, más bien, mantiene la vigencia de los principios sobre protección de datos ya conocidos. Dichos principios son el fundamento de esta nueva normativa, aunque se encuentran mejor formulados y desarrollados. Los más importantes son:

1. Prohibición salvo autorización: este principio significa que a priori se prohíbe cualquier procesamiento de datos personales a no ser que esté permitido. Esta era la situación hasta ahora y todavía sigue generando controversias. Después de todo, no todos los datos son igual de importantes. Con el Reglamento europeo de protección de datos, el principio de prohibición se aplica indiscriminadamente a cualquier tipo de datos personales.
    
2. Limitación de la finalidad: las empresas solo podrán recopilar y editar datos con unos objetivos específicos. Para ello, al empezar a recogerlos deben formularse los objetivos y documentarse el uso futuro de los datos. Un ejemplo del mundo laboral es que los datos que una empresa ha recopilado y guardado justificadamente para el cumplimiento de un contrato no pueden utilizarse para fines publicitarios. Este es otro de los fines que necesita una justificación por separado y solo se permiten las modificaciones posteriores de los objetivos bajo determinadas circunstancias.
    
3. Minimización de datos: el principio de la minimización de datos exige que las empresas recopilen la menor cantidad de datos posible, aplicando el lema “lo menos posible y tanto como sea necesario”. Así, no se puede recopilar más de lo requerido para conseguir el objetivo previsto con la obtención de datos. Con ello, este principio prohíbe la recopilación de datos “desmedida”.
    
4. Transparencia: el tratamiento de los datos debe ser comprensible para los interesados. Esto, por un lado, requiere avisos de privacidad claros y, por otro, significa mayores derechos para los usuarios. Como hasta ahora, las empresas deben comunicar bajo petición cuáles son los datos existentes y cómo se van a utilizar.
    
5. Confidencialidad: las empresas tienen la obligación de proteger los datos personales de sus clientes de forma técnica y organizativa ya sea del tratamiento o modificación no autorizados, del robo o de la destrucción de dichos datos. Una novedad es, sin embargo, la obligación explícita a aplicar medidas técnicas de protección. Sin embargo, estas medidas no están formuladas en el RGPD de forma precisa y ofrecen cierto margen interpretativo. En caso del robo de información, es importante que las medidas técnicas y organizativas de protección hayan resultado adecuadas para el riesgo planteado y el tipo de datos almacenados.

En primer lugar, el Reglamento europeo de protección de datos trae buenas noticias para los consumidores y los interesados en el procesamiento de datos,a los que se aplica la protección ampliada recogida por el RGPD, aunque su normativa también afecta a los derechos de los trabajadores.

El RGPD también tiene especial relevancia para el grupo profesional de los delegados de protección de datos (DPO), cuyo número aumenta considerablemente debido a dicho reglamento. Desde su implantación, todos los organismos públicos y empresas en las que sus actividades principales hagan referencia a la manipulación de datos personales deben designar a un delegado de protección de datos. Aun cuando la actividad principal no esté relacionada con el tratamiento de datos, debe nombrarse a un delegado de protección de datos cuando haya al menos 10 personas que se ocupen del tratamiento automatizado de los datos personales, lo que tiene validez para muchas empresas de mediana envergadura.

Asimismo, para los delegados de protección de datos que ya trabajan para una empresa, el RGPD supone un cambio significativo, puesto que su papel en ella se modifica radicalmente: si ya ha intentado conseguir que se cumplan las medidas de protección de datos, este se convierte ahora en el responsable de supervisarlas. Con ello se amplían sus responsabilidades y su campo de actividad.

La nueva normativa implica mucho trabajo para los delegados de protección de datos, pues tienen que introducirse en detalle en la nueva situación jurídica. Sin embargo, la nueva normativa también plantea aspectos positivos. Como indica el artículo 39 del texto legal del que versa esta guía, las funciones del delegado de protección de datos son:

(…)

1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
4. cooperar con la autoridad de control;
5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Dicho esto, a continuación, te ofrecemos un resumen del RGPD que tiene en cuenta, sobre todo, las novedades para gestores de páginas web y para empresas.

Aunque no se da una restructuración profunda de la normativa sobre protección de datos, el Reglamento europeo de protección de datos sí introduce ciertas modificaciones que las empresas deben tener en cuenta obligatoriamente e integrar en su flujo de trabajo al desarrollar sus rutinas laborales con datos personales (principio de privacy by design). En caso contrario se estaría infringiendo el derecho europeo.

• Evaluación del impacto de la protección de los datos: las empresas tienen la obligación de llevar a cabo evaluaciones de riesgos y también de definir las medidas de protección adoptadas para minimizarlos. Esta norma es especialmente relevante cuando las empresas recurren a la computación en la nube, pues en un servicio como tal se trabaja a menudo con grandes cantidades de datos personales. Esto tiene mayores consecuencias para las empresas que almacenan datos sanitarios, puesto que son especialmente sensibles y su difusión tiene especial relevancia para los interesados. 
   
• Datos de los trabajadores: otra piedra de toque es el modo en que las empresas procesan los datos de sus trabajadores. Las disposiciones correspondientes en el RGPD también afectan a los departamentos de Recursos Humanos, en los que también repercuten dichas modificaciones.
   
• Delegados de protección de datos: estos son una figura esencial para muchas empresas. Los delegados de protección de datos supervisan la estrategia de protección de datos elaborada individualmente y el cumplimiento del RGPD (GDPR, General Data Protection Regulation), lo que no solo afecta a empresas que trabajan con grandes cantidades de datos personales, sino que toda empresa con más de 10 trabajadores dedicados al procesamiento de datos personales debe recurrir a un delegado de protección de datos.
   
• Obligaciones de notificación: las nuevas especificaciones del RGPD sobre cómo proceder ante filtraciones de datos son más estrictas que las normas anteriores. Cuando se tenga conocimiento sobre incidentes de seguridad, estos deben notificarse en un plazo de 72 horas tanto a los interesados como a las autoridades responsables.
   
• Responsabilidad y multas: las empresas pueden tener que responsabilizarse por las infracciones realizadas en el manejo de los datos recogidos, lo que puede traducirse en multas elevadas.

• Obligaciones de documentación: un aspecto fundamental del Reglamento de protección de datos se centra en la responsabilidad proactiva de las empresas, también llamada accountability. A diferencia de lo que se hizo en el pasado, las empresas tienen la obligación de acreditar la protección de datos mediante documentación interna. Así, deben poder demostrar a las autoridades en cualquier momento y mediante la presentación del registro correspondiente qué datos se han almacenado y con qué finalidad, cómo se procesan y cuándo se eliminan.
   
• Privacy by design (privacidad desde el diseño):el principio privacy by design significa que las empresas deben tener en cuenta la protección de datos incluso en el diseño técnico de sus procesos comerciales. Así, técnicamente no pueden implementar medidas de protección de datos a posteriori, es decir, de manera secundaria, sino integrarlas en el proceso de trabajo en la fase de desarrollo. Por lo tanto, los productos y los procesos deben planearse de modo que estos traten con la menor cantidad de datos personales posible.
   
• Privacy by default (privacidad por defecto): esta disposición del Reglamento general de protección de datos ordena que debe predefinirse técnicamente la variante que mejor garantice la protección de datos, lo que evita que los consumidores lidien con ajustes técnicos complejos para conseguir limitaciones en el procesamiento de datos. 
   
• Fundamentos de la autorización (consentimiento, convenio): en lo sucesivo, en la mayoría de los casos los interesados también tienen que consentir explícitamente el uso de sus datos personales y además el consentimiento del trabajador o consumidor solo es aplicable a los usos especificados. Esta declaración debe formularse inteligiblemente y, en principio, podrá revocarse, algo que deberá ser tan fácil como la exposición en sí del consentimiento. Con el RGPD han aumentado los requisitos para una autorización efectiva, de modo que una disparidad muy amplia entre los implicados puede imposibilitar la voluntariedad así como la generación de la concesión de celebración del contrato.
   
• Supresión de datos: solo se podrán conservar los datos personales durante el tiempo necesario para la finalidad prevista. Si se extingue la autorización para el tratamiento de los mismos (se ha revocado el consentimiento o se ha cumplido el contrato), estos deben eliminarse.
   
• Derecho de acceso y derecho de supresión: los ciudadanos europeos tienen derecho a conocer qué tipo de datos tiene una empresa sobre su persona y cómo los utiliza. Además, los consumidores también pueden exigir a la empresa que elimine sus datos. Una gran empresa como Google también debe cumplir este “derecho al olvido” y eliminar de los resultados de su buscador, bajo solicitud, los enlaces a la información personal.

El Reglamento europeo de protección de datos no incluye reglas explícitas sobre el comercio online, sino que en él se formulan más bien principios generales de protección de datos cuyas partes están reguladas por otras leyes y reglamentos. Sin embargo, las abstractas normas del RGPD también aportan novedades para el comercio online, información que te detallamos en los dos apartados siguientes.

Lo más importante es que, junto con las regulaciones ya mencionadas para las empresas, el RGPD introduce, en principio, relativamente pocas modificaciones para el comercio online. Las normas con respecto a los temas más importantes para los gestores de páginas web (cookies, seguimiento de los usuarios, spam y marketing directo) se introducirán probablemente a partir de la primavera de 2019. Mientras tanto, los gestores de páginas web se rigen por el RGPD y por los principios generales de protección de datos de la nueva LOPD y GDD (Ley Orgánica de Protección de Datos de carácter personal garantía de los derechos personales), que recoge los principios del RGPD en forma de ley de aplicación nacional.

El Reglamento general de protección de datos es, en cierto sentido, una solución provisional, pues, en principio, junto con el RGPD entraría en vigor una nueva normativa sobre protección de datos: el Reglamento ePrivacy o de privacidad electrónica de la Unión Europea.

Este borrador prevé estrictos requisitos de consentimiento para cookies, y, si el proyecto se convierte en ley, esto tendría consecuencias significativas en el seguimiento, el targeting y la publicidad personalizada. Además, aún no se ha determinado qué cambios se producirían en el proceso legislativo. Por ello, todavía es demasiado pronto para preocuparse por el reglamento ePrivacy.

No obstante, los gestores de páginas web y los comercios online no deben perderlo de vista. A diferencia del Reglamento general de protección de datos, que regula los principios de protección de datos, el Reglamento ePrivacy se refiere a un sector específico, la protección de la privacidad en la vida diaria digital, de ahí que a los gestores de páginas web se vayan a tener que enfrentar a nuevas normas.

¿Qué modificaciones se han introducido en mayo de 2018 con el Reglamento europeo de protección de datos? Los cambios más importantes para los gestores de páginas web son:

1. La amplia obligación de documentación acreditativa del RGPD
2. Permisos más complejos
3. Los principios básicos de privacy by design y privacy by default
4. Mayores derechos de acceso y derecho de supresión
5. El derecho a la transferibilidad de los datos
6. Deberes informativos más amplios (p. ej., para la declaración de privacidad de una página web)
7. La prohibición de asociación en las autorizaciones
8. Multas muy elevadas

En los párrafos anteriores ya se han explicado algunos puntos. Te presentamos ahora la declaración de privacidad y la prohibición de asociación,puestoque ambosconciernen principalmente a los gestores de páginas web.

Las normas sobre la política de privacidad están entre las novedades del RGPD más importantes para los gestores de páginas web, y es que todas las páginas web deberían contener un aviso de privacidad. El apartado 2 del artículo 13 del RGPD recoge una lista detallada de los datos que debe contener toda declaración de privacidad. Asimismo, su forma también está regulada por el Reglamento europeo de protección de datos: dicha declaración o aviso debe aparecer en lenguaje claro y comprensible, de ahí que a la transparencia juegue un papel esencial (art. 12).

Por el contrario, en la prohibición de asociación es donde los expertos encuentran las mayores restricciones del Reglamento general de protección de datos para la industria informática. Según la prohibición de asociación, los gestores de páginas web ya no pueden obligar a sus clientes potenciales a ceder los datos que no sean necesarios para las actividades en cuestión. Como ejemplo, si para la celebración del contrato se exige simultáneamente la suscripción a la newsletter, se estaría infringiendo el derecho de la UE. El principio más importante del consentimiento es lalibre voluntad. En muchos consentimientos acoplados, la libre voluntad puede brillar por su ausencia, de ahí que los consentimientos obtenidos así sean, en consecuencia, ineficaces.

Por último, es indispensable tener en cuenta las modificaciones en las obligaciones de documentación, en las bases del consentimiento, en almacenamiento, en derechos de acceso y en derecho de supresión. En particular, puede que haya nuevas regulaciones que afecten tanto a gestores de páginas web como a empresas.

De cara a aplicar el Reglamento europeo de protección de datos, en primer lugar, debes considerar que las medidas necesarias se imponen de manera diferente en función de cada empresa. No obstante, hay algunas precauciones que toda empresa debe tomar y que detallamos a continuación:

• Establece los procesos de documentación para el tratamiento de datos personales.
• Crea un directorio para las tareas de procesamiento de datos.  
• Crea vías de comunicación para las consultas de los clientes sobre protección de datos.  
• Evalúa si es necesario recurrir a un delegado de protección de datos.
• Adapta la declaración de privacidad de tu página a las nuevas regulaciones.
• Consulta con el jefe del departamento técnico y los delegados de protección de datos si las medidas técnicas actuales sobre protección de datos son suficientes. En algunas circunstancias será necesario recurrir a otras medidas o integrar mejor en la infraestructura de TI las ya existentes.
• Todos los datos personales recopilados que infringen la prohibición de asociación deben recabarse de otro modo y obtenerse de manera voluntaria.
• Si has recurrido a servicios externos para procesar datos personales para tu empresa, debes consultarles si los acuerdos celebrados son de conformidad con la reforma sobre protección de datos. Adapta los acuerdos a las nuevas exigencias.
• Comprueba la manera en que solicitas el consentimiento de tus clientes en tu tienda online y adapta dichos procedimientos a las disposiciones del RGPD.
• Mantente actualizado sobre todo lo relativo al Reglamento ePrivacy. En el futuro podrás regular cómo los negocios online tratan con herramientas de análisis y de seguimiento.
• Si no estás seguro, busca asesoramiento profesional.

La aprobación del RGPD ha levantado opiniones tanto positivas como negativas. Aun así, lo que queda claro grosso modo es que el Reglamento aporta seguridad a los consumidores y las empresas y establece las mismas condiciones para todos los agentes del mercado.

Como conclusión, te presentamos algunas observaciones sobre el Reglamento europeo de protección de datos.

Las posibles consecuencias del Reglamento europeo de protección de datos han sido objeto de debate durante años y parece que algunas predicciones, tanto positivas como negativas, se están haciendo realidad desde su implantación. Estos han sido los cambios más relevantes relacionados con el RGPD, que afectan tanto a empresas como a consumidores.

En este sentido, muchos medios pusieron de manifiesto que un número bastante elevado de empresas no estaban preparadas para aplicar el Reglamento general de protección de datos. En concreto, las pymes siguen siendo más lentas a la hora de ponerse al día, lo que en teoría podría repercutir negativamente en los resultados económicos, aunque hasta la fecha no hay datos exactos al respecto. Por el contrario, las empresas digitales nativas, como Facebook, pudieron sobrevivir a los cambios gracias a un presupuesto millonario y a una experiencia profesional consolidada e incluso utilizaron el RGPD para sus propios fines publicitarios: Google, por ejemplo, se enorgullecía de haber empleado “500 años de trabajo humano” para la implementación de las nuevas medidas de protección de datos.

Como se ha podido constatar en los últimos meses, el RGPD no es solo fuente de confusión en nuestro territorio, sino también allende fronteras, por ejemplo, en los EE.UU., donde muchas empresas, en lugar de adaptar su normativa a la nueva orden europea, bloquean a usuarios con IP europea, reducen la oferta informativa o exigen un recargo a cambio de contenido. A esto se añaden las pequeñas páginas que por miedo a las sanciones han desaparecido de la red. Estos eventos se alinean en el escenario de la “fuga de datos” del que los sectores críticos del RGPD recelan.

Al mismo tiempo, la entrada en vigor del RGPD ha motivado un debate internacional alrededor de la protección de los datos personales que, según los expertos, hace tiempo que debía haberse abordado. Hoy, los grandes grupos como Google o Facebook se sitúan con mayor frecuencia en el foco de atención público y se observan de un punto de vista más crítico. Al fin y al cabo, estos big player también gestionan los datos de ciudadanos europeos, cuya protección tiene más valor a día de hoy que el que tiene en el Derecho norteamericano.

La gran “oleada de sanciones” que muchos actores del mercado temieron durante un tiempo se ha convertido en humo. Pese a todo, desde enero de 2019 se vienen avistando en muchas empresas, con creciente frecuencia, supuestas “multas” en la forma de correos electrónicos que suelen contener malware alojado en archivos adjuntos, por lo que deberían clasificarse de inmediato como correo basura y eliminarse.

La AEPD (Agencia Española de Protección de Datos) también alerta de las supuestas consultoras que ofrecen sus servicios de forma gratuita a las pymes. En este patrón de fraude, la consultora se pone en contacto con la empresa y, generando miedo a las sanciones, logra que la pyme aceptara sus servicios gratuitos si solicitase créditos de formación financiados con fondos públicos (FUNDEA). La consultora ofrece estos cursos pagados por los contribuyentes y servicios gratuitos de consultoría de RGPD que son insuficientes y que podrían acarrear problemas serios para las empresas. Otras empresas fraudulentas ofrecen sus servicios a muy bajo coste o incluso fingen estar avaladas por la AEPD. En vista de la picaresca en torno al RGPD, la Asociación Profesional Española de Privacidad (APEP) ha publicado en su web un decálogo con el fin de apoyar a las empresas en su búsqueda de agencia.

Si bien la ola de pánico ante las sanciones se ha ido desinflando progresivamente, meses después de la entrada en vigor del Reglamento, la AEPD ya informó de un notable incremento en las denuncias por parte de los usuarios (un 33 % solo en España), lo cual se interpretó positivamente como una toma de conciencia por parte del consumidor sobre los derechos que le amparan. También han empezado a llover las primeras sanciones, aunque, de momento, España ha quedado a salvo del chubasco. No así en otros Estados vecinos: en Alemania, la red social Knuddels.de fue multada con 20 000 euros ya en noviembre de 2018 al haber almacenado contraseñas y direcciones de correo electrónico sin cifrar, lo que las convirtió en presa fácil de un ataque cibercriminal. En Portugal, el Hospital do Barreiro tuvo que hacer frente en octubre a una multa que ascendió a un total de 400 000 por tres infracciones.

La entrada en vigor del nuevo RGPD trajo consigo muchas preguntas. De pronto, poner el nombre en los timbres –como se acostumbra a hacer en algunas ciudades– o publicar listas de nombres en las webs de asociaciones deportivas empezó a levantar dudas. En vista del nuevo Reglamento, colgar una lista de vecinos morosos o del gasto energético por familia en la portería podría estar infringiendo la ley. Aunque en el primer caso la jurisprudencia española es clara al considerarlo una violación de la privacidad, en el segundo no lo tiene tan claro, puesto que el responsable del tratamiento de los datos es la empresa proveedora. Con todo, dado que la normativa exige la responsabilidad proactiva, las comunidades de propietarios deberían observar medidas a este respecto.

En otras cuestiones, como en la del derecho al olvido, la jurisprudencia ha logrado una mayor claridad. En junio de 2018 el Tribunal Constitucional se pronunció por primera vez, desde la entrada en vigor del RGPD, en materia de protección de datos, a pesar de que los hechos tuvieron lugar cuando la antigua LOPD estaba vigente. La sentencia considera que se vulneraron los derechos a la intimidad, al honor y la protección de datos de dos personas cuyos nombres fueron publicados en relación con un delito de hace más de 30 años. La noticia podía encontrarse fácilmente en la hemeroteca y los nombres podían buscarse fácilmente en Internet. Pese a todo, aún no se han sucedido muchas sentencias, por lo que habrá que esperar a que la jurisprudencia vaya respondiendo a los nuevos retos que presenta la aplicación del Reglamento.

Por favor, ten en cuenta el aviso legal relativo a este artículo.