La normativa, vigente desde el 4 de mayo de 2016, no será exigible hasta el 28 de mayo de 2018, pero las empresas que gestionan y tratan habitualmente con datos deben comenzar cuanto antes a adaptar sus estructuras y procedimientos a este nuevo escenario.
Arvato CRM, empresa del grupo Bertelsmann orientada a la externalización de servicios para la gestión de la relación con clientes, explicó a sus clientes y asociados su estrategia para adaptarse al Reglamento General de Protección de Dato. Juan Guillermo Palanca, Director Jurídico en Arvato CRM Iberia & Latam señaló: “El reglamento dota a los ciudadanos de nuevos derechos, como el derecho al olvido, y su incumplimiento podría conllevar multas de hasta 20 millones de euros o del 4% de la facturación global de la compañía en el ejercicio anterior”.
Marta Alemany, abogado socio en Alemany & Asociados y que colabora con Arvato, explicó los entresijos jurídicos del Reglamento, así como los principales desafíos y oportunidades que supone para las compañías que lo adopten. “El principal reto es la propia adaptación al Reglamento, cómo conseguir transparencia al recabar datos para continuar haciendo campañas de marketing y cómo competir con empresas americanas, a quienes también se les aplica el Reglamento, cuando se dirijan a consumidores europeos. En cuanto a las oportunidades, contar con una misma normativa para todas las empresas favorece la competencia e incrementa el poder para llegar a un mayor número de destinatarios”, afirma Alemany.
En este contexto, la abogada también señala la importancia del nuevo proceso de obtención y regulación del consentimiento, y los nuevos derechos que el Reglamento atribuye a los ciudadanos. Entre ellos, destacan el derecho a la limitación del tratamiento, el derecho a la portabilidad y el derecho a no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados, incluida la elaboración de perfiles.
Entre los aspectos más relevantes se encuentra el diseño de la figura del Data Protection Officer o Delegado de Protección de Datos (DPO), clave en el correcto desempeño del Reglamento y posición imprescindible en las empresas que tratan y gestionan un gran volumen de datos en el curso de su actividad.
Asimismo, la normativa recoge cambios en el principio de rendición de cuentas o el consentimiento tácito, e incluye grandes novedades como la ampliación del concepto de “carácter personal” y la localización de canales únicos. “El reglamento cambia el planteamiento hacia un cumplimiento proactivo de la norma, e introduce multitud de novedades. Con la ampliación del concepto de dato personal y los nuevos requisitos del consentimiento es necesario que las compañías valoren cuál es la base jurídica que fundamentará los tratamientos”, concluye Paula Ortiz, Responsable de la Dirección Jurídica y de Relaciones Institucionales de IAB Spain.