BarcelonaEl nou reglament de protecció de dades europeu, que entra en vigor aquest divendres, ha agafat moltes empreses sense estar preparades. Malgrat que la normativa comunitària es va aprovar el 2016 i donava dos anys als països de la Unió Europea per adaptar-s’hi, moltes companyies no han començat a preparar-s'hi fins a l’últim moment. “No comptaven amb el nostre caràcter llatí d’esperar per fer-ho tot a l’últim moment”, explica Albert Agustinoy, soci coordinador de propietat intel·lectual al bufet d'advocats barceloní Cuatrecasas. Els despatxos d'advocats, sobretot els que tenen departaments especialitzats en noves tecnologies, han viscut una allau de peticions d’empreses que necessiten revisar els seus avisos de privacitat o enviar nous consentiments per conservar les dades que acumulen dels usuaris i esquivar les noves sancions per incompliment de les lleis de protecció de dades. “Fa sis mesos era una pluja fina però ara és absolutament massiu”, diu Agustinoy.
En el cas de Font Advocats, despatx especialitzat en dret digital, fa mesos que el 80% dels casos que arriben a l'oficina estan relacionats amb aquesta qüestió. “Les últimes setmanes ja han sigut el 100%”, assegura el seu soci director, Eloi Font. “Estem absolutament col·lapsats”, afegeix. Això ha dut el bufet a elaborar un “manual d'implementació urgent” per a aquelles empreses que han esperat a exhaurir el termini per començar a aplicar la normativa. “Expliquem quines són les accions que s'han de fer per almenys complir amb les parts més visibles”, diu Font. El rol dels bufets durant aquestes setmanes és precisament assessorar les empreses en els passos que han de fer per complir la llei segons cada cas.
“Hi ha molta inquietud”, apunta Marc Carrera, soci director a Catalunya del bufet especialitzat en dret laboral Sagardoy Abogados. No obstant això, assegura que l'allau de peticions ha sigut força progressiva i no s'ha concentrat tota la feina en els últims dies. De fet, els despatxos expliquen que moltes empreses no s'han assabentat dels canvis en protecció de dades fins que han començat a rebre les comunicacions d'altres companyies avisant que feien modificacions. En aquest sentit, Carrera i Agustinoy coincideixen a dir que l'adaptació de la normativa a Espanya és força ambigua, perquè el govern encara no ha elaborat la llei orgànica que desenvolupi les recomanacions europees.
Per exemple, Font apunta que hi ha corporacions que només haurien d'informar els usuaris, mentre que d'altres els han de demanar el consentiment explícit per conservar-ne les dades. Tot i així, aquest concepte no és clar per a tothom i algunes companyies podrien acabar esborrant dades que poden conservar, perquè els seus usuaris ja els havien donat el vistiplau en el passat. Carrera compara el moment amb l'arribada de les normatives de prevenció de riscos laborals. “Hi havia un gran desconeixement i incompliment general fins que va quedar clar”, explica el soci director de Sagardoy.
El que espanta més les empreses són les sancions que preveu la nova protecció de dades, que poden arribar al 4% de la seva facturació global. Un cop entri en vigor la normativa, estaran exposades a inspeccions de les autoritats, encara que els bufets opinen que no es produiran el mateix dia 26. De fet, un grup de patronals i cambres de comerç europees –entre les quals Pimec– van arribar a demanar una moratòria per ajornar les sancions, perquè consideren que “no hi ha hagut prou temps per estudiar i esvair els dubtes” que planteja el reglament. I això malgrat que es va aprovar fa dos anys.
Canvi transversal
Tot i les presses d'aquesta setmana, els bufets d'advocats consultats per l’ARA recorden que la feina tot just comença. Per a aquelles empreses que treballen amb grans volums de dades, el nou reglament no només preveu canvis puntuals. “Hauran de començar a incorporar la cultura de la privacitat al seu dia a dia, començant per la figura del delegat de protecció de dades”, avisa Eloi Font. De fet, Agustinoy recorda que els mateixos despatxos d'advocats són generadors d'informació molt sensible i també hauran de fer un lloc a les seves plantilles per a especialistes en aquest àmbit.
Què canvia la nova normativa per a les empreses?
Consentiment per a les dades
Les empreses només podran acumular dades personals dels seus clients o usuaris si han rebut el consentiment exprés d’aquestes persones. El procediment ha de ser fàcil d’entendre, no pot estar ple de lèxic legal difícil de comprendre. A més, s’ha de donar l’opció de revocar aquest consentiment.
Dret de l’oblit
Les persones que constin al registre d’una empresa podran exigir que se n’elimini qualsevol rastre.
Delegat de protecció de dades
Determinades empreses han de nomenar un delegat que es responsabilitzi de la protecció de les dades d’aquella companyia. En general, les pimes no n’hauran de tenir, excepte si es dediquen a processar categories especials, com els orígens racials o ètnics de les persones que hi apareixen, o les seves creences religioses.
Sancions elevades
Les multes per a qui incompleixi aquesta norma són elevades, i van del 2% al 4% de la facturació global de la companyia.