RGPD: ¿Cómo ha afectado a los comercios? 

Cualquier empresa, por pequeña que sea, debe considerar el RGPD como un parámetro más en todas sus decisiones, pero no sucede así en la práctica.     

• La digitalización de la información involucra más que nunca a las empresas en el tratamiento de datos.  
• El desconocimiento generalizado del reglamento y la falta de automatización son algunos de los problemas que deben solventar las compañías para implementar correctamente el RGPD.  
• ¿Quieres saber cómo ha afectado el RGPD a los comercios? En este post, nuestros expertos te responden.      

Talend, empresa líder en integración de datos en la nube, reveló en 2019 que el 60% de las empresas aún no responden a las solicitudes de las personas que quieren obtener una copia de sus datos cedidos, sin dilación indebida y a más tardar en el plazo de un mes, prorrogable por otros dos meses en caso necesario teniendo en cuenta la complejidad y el número de solicitudes y explicar sus motivos en caso de que no fuera a atender la petición o informando del motivo de la prórroga.  

Asimismo, la Agencia Española de Protección de Datos (AEPD) constata que en España tan solo el 34% de las pymes atiende los derechos de los interesados reconocidos en la normativa (acceso, rectificación, cancelación y oposición).  

Estos son solo algunos datos que demuestran que, tras dos años de vigencia del reglamento, su aplicación sigue siendo insuficiente, lo que lleva a muchas empresas a enfrentarse a multas que pueden alcanzar los 20 millones de euros o el 4% de su facturación anual.     

RGPD: ¿por qué no se ha implementado con éxito en todos los comercios?    

Muchas empresas no han respondido como es debido a la normativa europea. Estas son algunas de las razones fundamentales:    

1. La automatización, el talón de Aquiles de muchos comercios     

Es innegable que internet nos ha llevado a un nuevo escenario en el tratamiento de datos, al que muchas empresas no han sabido adaptarse paralelamente. Y es que la falta de automatización en muchas empresas está presente, debido fundamentalmente a las siguientes causas:  

• Falta de una visión consolidada de los datos y de una definición de la propiedad. 
• La tramitación de muchas solicitudes sigue siendo manual.   
• Los altos costes en el procesamiento de las solicitudes de derechos del interesado (SRR). Una encuesta realizada por Gartner, empresa de investigación de las TIC, ha revelado que las compañías gastan alrededor de 1.400 dólares por SRR.    

2. Desconocimiento generalizado por parte de empresas y trabajadores    

Otro estudio realizado por la AEPD sobre el cumplimiento del RGPD revela que las pymes en España están en la siguiente situación:  

• El conocimiento del reglamento alcanza a un 63%.    
• La obligación de elaborar un registro de actividades le consta a un 60%.  
• Las nuevas obligaciones del responsable del tratamiento son conocidas por el 59%.    

En cuanto al personal, más del 30% de los trabajadores desconoce el protocolo a seguir para tratar los datos personales y el 50% no saben qué es un Delegado de Protección de Datos (DPD), lo que demuestra que muchas empresas no comunican su importancia o tan siquiera cuentan con uno.   

Suspenso en política de cookies  

No llegan ni al 12% las empresas con páginas web de la UE que alcanzan los requisitos mínimos impuestos por Europa. Por si esto fuera poco, muchos de estos sites utilizan técnicas para hacer más difícil rechazar las cookies al usuario, bien porque no existe un botón para ‘rechazarlas todas’, bien porque la opción de ‘aceptar cookies’ nunca se desplaza a una segunda ventana.   

Este tipo de prácticas, denominadas por los investigadores como patrones oscuros, hacen más probable que los usuarios acepten cookies, aunque no quieran.   

Designación del DPD: punto a favor en los comercios     

Uno de los ámbitos en los que las empresas están respondiendo de forma positiva es en la designación del DPD, una figura obligatoria en los supuestos relacionados en el artículo 37 del RGPD y 34 de la LOPDGDD. Como ejemplo, empresas públicas y compañías que trabajan en el ámbito del Big Data.    

La AEPD ha informado a diversos medios sobre que la designación de esta figura ha resuelto, desde el pasado 2018, más de un millar de reclamaciones interpuestas por usuarios. Esto, traducido en cifras, significa que dos de cada tres se resuelven satisfactoriamente.     

Evaluación de impacto: una herramienta clave para que las empresas cumplan con el RGPD   

Para difundir el conocimiento, implantar una verdadera cultura en protección de datos y en el ámbito de las empresas promover el cumplimiento de la normativa de protección de datos con el establecimiento de las medidas que ésta impone, la AEPD, como autoridad de protección de datos en España, ha publicado las herramientas FACILITA y Gestiona EIPD y guías entre las que se encuentran un modelo de evaluación de impacto para ayudar a las empresas a cumplir con el RGPD.   

¿Están los comercios obligados a implantar un modelo de evaluación de impacto?    

Independientemente del tamaño de la empresa y los tratamientos de datos que se realicen, la evaluación de impacto ha de realizarse antes de cualquier tipo de tratamiento. Existen sin embargo supuestos en los que una EIPD ha de realizarse de forma obligatoria, definidos en el artículo 35.3 RGPD y en los establecidos por la autoridad de control, también en la herramienta FACILITA publicada por la misma AEPD.  

La herramienta Gestiona EIPD y la guía publicada por la AEPD sobre cómo realizar una EIPD, son una referencia para realizar una EIPD.  

En el caso de comercios, han de realizar una EIPD si realizan alguno de estos tratamientos: 

• Operaciones de tratamiento que impliquen el uso de nuevas tecnologías. Como ejemplo, Big Data. 
• Inicio de un nuevo tratamiento o tecnología. 
• Tratamientos continuados en los que ha transcurrido tiempo desde el tratamiento inicial. 
• Elaboración de perfiles y predicción de comportamientos de clientes, geolocalización, como ejemplos. 
• Tratamiento de datos sensibles. 
• Tratamientos a gran escala. 
• Combinación de unas bases de datos con otras. 
• Tratamientos de datos fuera de la Unión Europea. 
• Tratamientos que impidan al interesado ejercer un derecho o utilizar un servicio.

¿Qué puntos debe contener esta medida?  

Para cumplir con la normativa de protección de datos, es recomendable que las empresas realicen una EIPD en los supuestos establecidos en la normativa y por la, AEPD.  

Una vez realizado, el resultado de la EIPD debe tenerse en cuenta a la hora decidir la  viabilidad o no de llevar a cabo el tratamiento de datos, tal y como establece la AEPD en la Guía de Evaluación de Impacto.  

El contenido mínimo de una EIPD es el siguiente:  

1. Una descripción del ciclo de vida de los datos personales y los fines de tratamiento. 
2. Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad. 
3. Una evaluación de los riesgos para los derechos y libertades de los interesados. 
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Antes de iniciar una EIPD ha de definirse la relación de personas que la van a llevar a cabo y las personas involucradas en su ejecución y establecer las fases y pasos a seguir para poder realizarla de forma adecuada.