La nueva ley de protección de datos que entró en vigor el pasado día 25 de mayo me trae de cabeza. Con la ayuda de una especialista en la conocido por sus siglas GDPR (en inglés) o RGPD (en español), he tratado de cumplir con todos los detalles que se me han indicado.
Vaya de entrada que le deseo a todos los políticos y técnicos que han participado en la elaboración de esta ley que jamás le salga bien una paella o perol o cualquier plato de arroz que cocinen. Por la eternidad.
La solución adoptada, que entiendo que tiene una cierta base razonable, está orientada a empresas medianas, a grandes y a multinacionales. Sobre todo aquellas que tienen material sensible de personas. Para los autónomos y pequeñas empresas, es como ponernos un traje cinco tallas más grandes.
Tiene esta ley aspectos positivos, sin duda. Es un único conjunto de normas de protección de datos para todas las empresas que operan en la Unión Europea (UE), con independencia de dónde tengan su sede. Para las empresas que tienen relaciones con otras de otros países europeos es una seguridad y un lío menos al no tener que saberse todas las leyes en relación a los datos de cada país.
Otros aspecto positivo es que nos obliga a todos a pararnos a organizar toda la información que podamos tener de datos personales en ficheros, correos, etc. Con los años, cada empleado se ha hecho su propia base de datos seguramente. Habrá exportado tablas del sistema a su excel, subido carpetas o ficheros a la nube (interna o externa a la empresa), se habrá hecho su propio fichero, etc. Ya no es solo los datos que oficialmente tiene la empresa, sino los seguramente numerosos datos repartidos por cada empleado. Datos almacenados en los correos electrónicos de hace décadas de cada empleado y que se usan al criterio de cada uno, sin saber si ese cliente o esa persona ha pedido oficialmente no seguir recibiendo correos de tu empresa.
Esos dos aspectos: ley única en toda la UE y orden en los datos existentes en las empresas de datos personales, está bien. Lo malo es en la parte formal de manifestación de la aplicación de la GDPR. Todos esos textos que tenemos que incluir en distintos sitios. Esa pérdida de tiempo en la parte formal que no creo que aporte casi nada. Vayamos por partes.
En primer lugar, abordé incluir un texto en el pie de mis correos electrónicos. Ese texto llega a tener una extensión de 270 palabras en versión corta y en versión larga 330 palabras. Es casi el mismo en todas las empresas. ¿No podrían haber generado la UE un texto que colgara de un enlace y que tan solo tuviéramos que hacer referencia al mismo y meter un par de líneas con particularidades y nuestros datos para dar de baja la recepción de nuevos correos? ¿Quién se va a leer ese texto de todos los correos que recibe? ¿Y si una misma empresa me cambia el contenido en unas semanas cuando ya me he acostumbrado a no leerlo?
El texto obligado a aparecer en los emails, incrementa cada correo que enviemos o recibamos en 2kb. El volumen de correos que se envían por día es más de 100.000 millones (fuente www.internetlivestats.com ). Ciertamente existe el SPAM, y según esa misma fuente, representa el 67% de los correos. Entiendo que la nueva ley pretende reducir esa saturación pero ciertamente, con los filtros y aplicaciones que hay, el SPAM que llega por motivos profesionales es mínimo y en cuentas personales, también. De vez en cuando hay que ir a vaciar la bandeja repleta de SPAM, pero ya está. Recibir ahora textos breves en cada correo pero con un disclaimer de 2kb, a mi no me mola. Porque eso no puedo filtrarlo. Y si multiplicamos 2kb por cientos de millones de correos diarios, nos podemos hacer el peso de información que genera la RGPD que nadie se leerá.
Lo siguiente fue incluir otro texto en la plantilla de las facturas. Es breve pero de una extensión de unas 125 palabras que ahora aparece al final en cada documento. Hay que incluir otro texto para los presupuestos que contiene unas 200 palabras de lo mismo. ¿Se lo leerá alguien?
A continuación tocaba incluir los distintos textos en la web. El primer punto afectado era el formulario de contacto. Afortunadamente el plugin que uso incluye la posibilidad de aceptar las nuevas condiciones y que al recibir el mensaje se incluya el campo que afirma explícitamente que ha leído y aceptado las condiciones de política de tratamiento de datos. Pero eso lo he podido hacer porque mi web está en WordPress y lo manejo. Aquellas empresas o autónomos que no sepan, tendrán que recurrir a un informático, que igual les cobra algo. Un gasto más.
Y aunque el objetivo de la nueva ley es evitarnos recibir correos no deseados, que no se compre y venda mi información obtenida por el uso de las aplicaciones o webs, etc. creo que se han pasado en el alcance. Deberían haber desarrollado un condicionado legal estándar para que todas las que no reúnan cierto nivel de manejo de datos sensibles. Varios perfiles que con una auditoría pueda decir: «Las condiciones son las mismas que el Perfil3 pero con un breve texto específico.»
Hay una web de la Agencia Española de Proección de Datos que pone a tu disposición una herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del Reglamento General de Protección de Datos: FACILITA RGPD que te hace un breve cuestionario de evaluación. Aunque ojo, ya te avisa: es un programa de ayuda general y como tal no es perfecto para todos los casos porque puede haber peculiaridades de cada empresa que no pueden tenerse en cuenta. Y añade que los documentos resultantes de la ejecución de este programa serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos. Remata lógicamente que el uso de este programa no garantiza el pleno cumplimiento del RGPD. Es decir, que tenemos que acudir a un experto que nos ayude. Para ese viaje no hacía falta alforjas, que diría mi madre.
Otro día os cuento la guerra para redactar la política de cookies que tenemos que tener. Y cómo debe aparecer ahora un aviso que te permita seleccionar aquellas galletitas que autorizas y las que no. Esa es otra historia.
Más webs de ayuda:
- RGPD para Pymes del INCIBE Instituto Nacional de Ciberseguridad.
- Guía sobre el uso de cookies de Ayuda Ley de Protección Datos.
- Guía para la gestión y notificación de brechas de seguridad de la Agencia Española de Protección de Datos.
- Reforma de 2018 de las normas de protección de datos de la UE en la web de la Comisión Europea