Fernando Escura: “La normativa de protección de datos es una de las de mayor impacto económico para las empresas”

Jornadas Internacionales Compliance Penal

El abogado y presidente de honor de Hispajuris, Fernando Escura, alertó hoy sobre los efectos que tendrá la nueva normativa sobre protección de datos, “una de las de mayor impacto económico para las empresas”, al prever sanciones de hasta el 4 % de la facturación, en casos de infracciones graves, lo cual obligará a éstas a provisionar fondos para cubrir este riesgo.  

Escura ha participado hoy como ponente en las VIII Jornadas Internacionales de Compliance, celebradas en Madrid los días 24 y 25 de abril, con el patrocinio de Hispajuris.

En su intervención, recalcó que este tipo de sanciones, acorde a un concepto europeo de graduación de las sanciones, como sucede en el ámbito del derecho de defensa de la competencia, “habría de ser moderado por la Agencia de Protección de Datos”, organismo al que ha solicitado que apruebe un baremo interno que aporte con criterios de proporcionalidad en la graduación de las multas, según la gravedad de las infracciones.

Alertó sobre algunas de las graves consecuencias  de la nueva normativa de protección de datos, “una de las pocas realidades reguladas mediante una normativa comunitaria común”, abundó.

“La empresa ha de acreditar la prevención del robo e uso indebido de datos”

El presidente de honor de Hispajuris, puso el énfasis en la actividad de prevención que con tal fin han de adoptar las empresas, recogiéndolas y acreditándolas en la Memoria interna, no sujeta a modelos o pautas estrictas según la nueva norma, y en la que se han de prever los riesgos posibles y sus efectos, con una metodología interna de tratamiento, adaptada a cada empresa

Escura apeló a la proactividad de las empresas, en esta materia, a través de la figura del Responsable de tratamiento, que ha de elaborar la Memoria, algo obligado para empresas de menos de 250 trabajadores o que traten datos especiales. En este punto, abogó por que se apruebe una norma ISO que permita homologar las Memorias sobre el Tratamiento de Datos en la empresa, que permita, mediante la homologación de su sistema, acreditar la actividad preventiva de la empresa en esta materia.

Esta gestión interna de los datos personales será especialmente exigente con empresas y entidades cuya actividad requiera del tratamiento de datos especiales, como las de servicios médicos, residencias de la tercera edad, y, en general empresas y departamentos internos de recursos humanos, con datos de bajas médicas, afiliaciones, etc.

El problema de la obtención del consentimiento expreso

Sobre la necesidad de contar con el consentimiento expreso del titular de los datos, enfatizó la práctica que están utilizando grandes empresas, de solicitar de los titulares de los datos, “la validación global” de la política de protección de datos, como medio para poder seguir enviando correos. “Los que no lo hayan consentido, habrá que eliminarlos de las bases de datos”, dijo.

El alcance del uso de dichos datos personales, también está restringido, recordó el abogado de Hispajuris, siendo obligado atenerse el principio de minimizar los datos requeridos, que han de ser “los imprescindibles para el fin para el que se solicitan”, y con una limitación temporal.

Escura expuso algunas de las novedades de la norma, que distingue entre dos clases de archivos de datos personales, normales y especiales, según el tipo de datos que recogen.

Recordó que ya no se registran los ficheros de tratamiento automatizado en la Agencia de Protección de datos, sino que habrá que tener un registro interno de archivos.

Asimismo, ilustró sobre los nuevos derechos reconocidos a los particulares, además de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición), como el “derecho al olvido”  y a la autorización previa para la portabilidad de los datos a terceros.

¿Cómo actuar con los datos de clientes que no han consentido?

“Será un gran problema para las empresas gestionar la obtención y acreditación de haber obtenido la obtención de los consentimientos expresos de miles de particulares”, ya que, recordó, no se requiere respecto de personas jurídicas. Aunque, al respecto, se preguntó qué sucede con el autónomo: ¿cuándo actúa como profesional o como particular?

El problema de gestión de los consentimientos, indicó Fernando Escura, alcanza al tratamiento de los datos de los clientes de las empresas, que también deben firmar un consentimiento expreso. Recomendó ante esta situación, “enviar un burofax a cada cliente que no haya consentido, para alertarle de que tendrán que borrarse sus datos, con los efectos derivados para la prestación del servicio”.

Un nuevo foco de reclamaciones masivas

Este problema para las empresas, se agrava con la figura legalmente prevista del  “perjudicado”, lo que abre un nuevo campo para reclamaciones masivas de consumidores particulares. Y las indemnizaciones, advirtió, podrían alcanzar hasta 30.000 euros, según los efectos derivados del uso indebido de datos personales por no mediar el consentimiento expreso. Puso como ejemplo el caso del ex trabajador de una empresa que recibe comunicaciones de su antigua empresa.

No obstante, recordó que estas reclamaciones no caben respecto al uso de datos cedidos a través de las redes sociales.