La normativa de protección de datos cambia «la mentalidad» de las empresas
En el ámbito sanitario existe «preocupación» por cumplir con el nuevo reglamento, que refuerza la confidencialidad de las informaciones sobre la salud de los pacientes
Una mujer llega al Hospital de Sierrallana preocupada por el estado de salud de su tía, ingresada de urgencia. Pregunta por su ubicación y su ... estado y no obtiene respuesta. Recorre el hospital, entre llantos, en busca de su familiar. Pese a su insistencia, no logra ningún tipo de información. Cambiamos de hospital, en este caso uno madrileño. Una señora ingresada mantiene informada a su familia de Cantabria de su estado de salud a través del teléfono móvil. Hasta que deja de responder. Los temores crecen. Y llaman directamente al centro para saber qué ocurre con su pariente, para conocer si ha empeorado su estado, para que pongan luz a su preocupación. No les pueden facilitar esa información.
Estos casos, reales ambos, son ejemplo de las 'perversiones' que provoca el nuevo Reglamento Europeo de Protección de Datos (RGPD o GDPR, si se atiende a sus siglas en inglés), la legislación de protección de datos personales que aplica la UE en todos sus Estados miembros desde el pasado 26 de mayo y que supone un cambio cultural en el modelo de entender la privacidad. Muchos recordarán su entrada en vigor porque en los días previos recibieron un aluvión de comunicaciones para solicitar permiso para la utilización de los datos e incluso su aprobación para seguir recibiendo correos electrónicos.
PUNTOS CLAVES
-
Consentimiento Para tener y tratar los datos de una persona se debe obtener su consentimiento expreso, no tácito. Este debe ser libre e inequívoco, pero también informado e individual; y tiene que poder probarse que se recibió.
-
DPO El reglamento introduce la figura del Delegado de Protección de Datos (DPD o DPO). Es obligatorio en el caso de los organismos públicos y en las empresas que traten datos a gran escala, informaciones muy sensibles o que tengan más de 250 empleados.
-
Derecho al olvido Una persona puede pedir a una empresa o a una autoridad pública que elimine los datos personales que tiene en su poder si ya no son necesarios; si ha decidido retirar el consentimiento o se opone a que se usen más; o si se han utilizado de forma ilícita.
-
Testamento digital En el testamento se podrá incluir quién será el beneficiario de los datos personales en internet del fallecido, incluyendo cuentas de correo o perfiles de redes sociales. En caso contrario, serán los familiares los que podrán solicitar el acceso a los mismos.
-
Menores En España, los menores de 14 años no pueden consentir el tratamiento de sus datos personales en los servicios de la sociedad de la información (internet por ejemplo): deben hacerlo sus padres o tutores. A partir de esa edad, el menor podrá consentir la cesión de sus datos a terceros.
-
Multas cuantiosas El Reglamento Europeo de Protección de Datos dispone penalizaciones que pueden llegar hasta los 20 millones de euros o el 4 % del volumen del negocio anual de una empresa para aquellos que no cumplan con la normativa.
La nueva norma regula el tratamiento de datos personales de los ciudadanos por parte de empresas y organismos públicos y establece un mayor control sobre los mismos. El objetivo, garantizar una mayor protección de la privacidad en una sociedad como la actual, cuya intimidad está mucho más expuesta por el auge de nuevas tecnologías que delatan fácilmente la identidad de las personas a partir de millones de datos dispersos en internet.
El reglamento incluye nuevos requisitos de privacidad a las empresas a la hora de tratar datos de personas o venderlos a terceros, además de la exigencia de un consentimiento claro y expreso del afectado, no sólo tácito, para que pueda hacerse. Este consentimiento toma especial importancia en el ámbito sanitario, donde se trabaja con información especialmente sensible. La normativa define como datos personales relacionados con la salud aquellos «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado». Y les otorga una mayor protección, indicando a los profesionales que hay que evitar informar a terceros sobre la salud de los pacientes, «salvo que éstos lo hayan consentido o se tenga una justificación lícita». Los centros de salud y hospitales también se ven obligados a mejorar la calidad y la confidencialidad de los datos conservados, la información ofrecida a los pacientes y a los participantes en los ensayos clínicos y el reforzamiento de las medidas de seguridad en torno a los datos personales, potenciando con carácter general los mecanismos de control de acceso.
Esta situación obliga a los profesionales a cuidar especialmente esa confidencialidad, aunque llegue hasta límites aparentemente ilógicos como los mencionados con anterioridad. Y de fondo, el «temor» además a posibles multas. Que no son pequeñas. El presidente del Colegio Oficial de Médicos de Cantabria, Javier Hernández de Sande, reconoce «la preocupación» de los profesionales para cumplir la reglamentación y la «constante» petición de información al respecto en los últimos meses. «Todos los médicos nos estamos adaptando a la nueva reglamentación europea y a la vez estamos esperando a que se publique la ley española en el Boletín Oficial de Estado (BOE) para ver qué demanda en concreto al respecto», explica.
Porque, además de cumplir la normativa europea, los Estados miembros de la UE tienen la obligación de adaptar las leyes propias (en España, la Ley Orgánica de Protección de Datos -LOPD-), incorporar nuevos elementos y desarrollar otros que en ese reglamento se esbozan de una manera general. El Congreso de los Diputados aprobó en octubre por unanimidad el texto de la que será la nueva LOPD, que salió ratificada el pasado miércoles en el pleno del Senado con 220 votos a favor y sólo 21 en contra. Esta reglamentación va incluso más allá del RGPD, al regular también aspectos como los derechos de los ciudadanos en el mundo digital tales como el olvido en internet, la desconexión digital laboral o el testamento digital. Además, asegura la intimidad de los empleados en entornos de trabajo ante la presencia de videocámaras o sistemas de geolocalización, fortalece la protección en línea de los menores y garantiza la portabilidad de datos personales o el acceso universal a internet.
Profesionales de servicios financieros y seguros, de internet, telefonía, que aborden ámbitos de salud o judiciales o que traten datos para publicidad son los más afectados por el reglamento, que les ha obligado a un «cambio de mentalidad». Así lo admite Lorenzo Vidal de la Peña, presidente de CEOE-Cepyme en Cantabria. «La entrada en vigor del nuevo reglamento ha servido para que todas las empresas hagan una revisión de sus sistemas y una puesta al día de los mismos y una actualización de todos sus procesos en materia de protección, un proceso de adecuación que, en general, no ha sido complicado porque ya conocían las nuevas obligaciones desde 2016», explica. Aunque no posee datos exactos, Vidal de la Peña asegura que la mayoría de las empresas cántabras se han puesto al día y han hecho los deberes. «Es posible que alguna no haya terminado su proceso de adaptación, pero serían las menos», destaca.
Reconoce Vidal de la Peña que el principal inconveniente del proceso ha sido la renovación y actualización de los consentimientos para el uso de los datos que todas las empresas deben obtener de sus clientes y proveedores. «Ha habido que hacer una tarea de recordatorio y de recogida de nuevos consentimientos que ha llevado bastante tiempo», indica.
Crecen las reclamaciones
Sin embargo, la Unión de Consumidores de Cantabria (UCC) lamenta que no todos están haciendo los deberes. «La falta de respeto a la normativa es flagrante en algunos ámbitos. No es cuestión de leyes, sino de su aplicación», señala su coordinador, Francisco Bautista. Así, critica que las empresas siguen «abusando» de los datos personales de los ciudadanos, con algunas prácticas (llamadas telefónicas constantes, uso y publicación ilegal de datos...) que supone incluso «acoso». «Nos siguen bombardeando y acosando. Es alucinante el suplicio que supone para algunas personas, es un gota malaya que no cesa. Pido a las administraciones y poderes públicos más control, que hagan cumplir la normativa y que impongan las sanciones correspondientes cuando no sea así», reivindica Bautista. Y recuerda que se ha variado el Código Penal para incluir el acoso telefónico «como una variante del delito de coacciones».
El responsable de la UCC asegura que «se están vulnerando los derechos de los consumidores» e indica que, a nivel regional y nacional, se reciben «muchísimas» reclamaciones diarias por acoso comercial, la mayoría de ellas perpetradas por compañías telefónicas. Unas palabras corroboradas por los hechos. Desde el 25 de mayo, cuando entró en vigor la RGPD, hasta octubre, la Agencia de Protección de Datos recibió 5.200 reclamaciones por uso fraudulento de datos, un 36% más que en el mismo periodo de 2017.
Manga ancha
Pero todas las restricciones que la nueva Ley de Protección de Datos impone a empresas y autónomos desaparecen en el caso de los partidos políticos, que podrán rastrear datos personales u opiniones políticas obtenidos en páginas web, redes sociales y otras fuentes de acceso público sin necesidad de tener el consentimiento del afectado para hacer perfiles ideológicos y personalizar la propaganda que enviarán durante los periodos electorales. Una decisión que ha levantado una oleada de críticas entre la ciudadanía.
¿Tienes una suscripción? Inicia sesión
Comentar es una ventaja exclusiva para suscriptores
¿Ya eres suscriptor?
Inicia sesiónNecesitas ser suscriptor para poder votar.