Inicio Actualidad Económica Una sanción por incumplir el RGPD puede hundir una pyme

Una sanción por incumplir el RGPD puede hundir una pyme

El tejido empresarial tiene su propios mitos y leyendas. Uno en los que más se ha redundado, y permanece en nuestro imaginario, es que las pequeñas y medianas compañías no pueden acceder a la protección legal en caso de enfrentarse a multas o reclamaciones. Se cree que estos servicios son demasiado caros para las pymes y, por lo tanto, les sale más rentable afrontar la pena que se imponga aunque no se esté de acuerdo con ella.

Pero ese razonamiento resulta totalmente erróneo, porque desde el sector asegurador se ofrecen opciones para que las corporaciones de menor capacidad puedan defenderse. Y en el contexto actual, en que la nueva (y aún bastante desconocida) regulación de protección de datos amenaza a casi todas las empresas, contar con protección jurídica ha cobrado relevancia.

Para discutir sobre ello, La Razón organizó el debate «Pymes y autónomos: retos legales y soluciones aseguradoras», con la participación de Paloma Arenas, directora general de E2K Global; José Luis Piñar, doctor en Derecho, catedrático de Derecho Administrativo, abogado y consultor experto en protección de datos; Carmen Peña, directora de la revista «PymeSeguros»; Montserrat Fraga, asesora jurídica interna de SOS Seguros y Reaseguros S.A., así como el director Comercial y de Negocio de la misma empresa, Carlos Nadal.

El coloquio comenzó recordando que el pasado 21 de noviembre el Senado aprobó el proyecto de la Ley Orgánica de Protección de Datos. La normativa, explicó Piñar, «adapta el Derecho español al Reglamento General de Protección de Datos (RGPD) europeo que será aplicable a todas las empresas que traten datos». Ya sean de clientes, de proveedores o de asociados. Por eso, a día de hoy, pocas se salvan de tener que cumplirlo.

No será sencillo, «la norma tiene cierta complejidad», añadió Piñar. Anteriormente, existían unos pasos bien marcados, como registrar los ficheros y realizar una auditoría cada dos años. Ahora se debe reconocer para qué son esos datos, por qué y para qué se poseen, qué se pretende hacer con ellos y a quién existe la posibilidad de cederlos. Para empezar, la compañía tendría que responder a todas estas preguntas ante la Agencia Española de Protección de Datos (AEPD), que será el órgano que vigile que la nueva regulación se cumpla. A partir de ahí, el marco jurídico es poco claro porque, contó Piñar, «dicta que cada uno tiene que hacer lo que considere con los datos según los riesgos que generan».

Implantación

Por lo tanto, no se podrá hacer un uso deliberado de los datos y, además, deberán estar protegidos lo máximo posible, ya estén acumulados en formato físico o digital. Tanto acostumbrarse a tratarlos con más cuidado y aplicar las herramientas adecuadas llevará su tiempo. Arenas admitió que «es difícil de implantar en los sistemas de trabajo, por eso las pymes y autónomos necesitan asesoramiento jurídico».

Por unas pequeñas tasas, afirmó Nadal, se puede acceder a ese tipo de servicio, al contrario de lo que normalmente se pensaba: «Una empresa de unos 20 empleados, por ejemplo, puede tener el asesoramiento jurídico completo por entre 400 y 500 euros». Vale la pena cuando el disgusto que uno se puede llevar es mucho más costoso. Las multas por incumplimiento del RGPD pueden alcanzar los 20 millones de euros o el 4% del volumen global de la compañía. La sanción media que impone la AEPD es de 60.000 euros y con eso, aseguró Piñar, «ya hundes a cualquier pyme o autónomo».

E incurrir en un error que conlleve multa es bastante sencillo. La regulación establece que las brechas de seguridad deben ser comunicadas en, como mucho, 72 horas. No obstante, comentó Carmen Peña que resulta complicado hacerlo en ese plazo porque «casi todas las pymes tienen externalizadas sus bases de datos y, por lo tanto, no es seguro que alguien se dé cuenta del fallo a tiempo». En este sentido, Arenas manifestó que «no hay un sistema completamente seguro, existen riesgos que no se pueden evitar».

Pero se pueden mitigar, y el asesoramiento jurídico ayuda a conocer cómo reducir las consecuencias de la Ley en caso de que se cometa un fallo. Porque si la AEPD tiene que actuar contra una empresa, la mejor situación para ésta es demostrar que ha hecho todo lo posible por mantener los datos protegidos. «No es lo mismo que te roben con la puerta abierta que cerrada», dijo Arenas. Aunque de momento la Agencia se ha mostrado un poco benévola, sabiendo la dificultad de aplicar las normas en los primeros meses, poco a poco se irá endureciendo.

Potencial

Montserrat Fraga aseguró que cuando de verdad se imponga una norma millonaria por incumplir el Reglamento General de Protección de Datos en España, el resto de empresas será más conscientes el perjuicio que les puede acarrear a ellas. Entonces, el sector asegurador estará preparado para reaccionar. «Ya vemos un mercado potencial importante porque nos llegan consultas y necesidades sobre este tema, e irá creciendo según vaya actuando la Agencia», sostuvo Nadal.

No hay que tener en cuenta sólo las multas. Para Piñar, no proteger los datos debidamente supone «un riesgo reputacional muy grande». La caída de Facebook y de Cambridge Analytica son buena muestra de ello. Y es que la gente sabe que sus datos, a día de hoy, son oro para las empresas. Los pueden analizar y tomas decisiones en base a ellos para perfeccionar su negocio. A cambio, los consumidores sólo piden que cualquiera no pueda acceder a su información personal.

Si ya todos somos conscientes del valor que poseen los datos en la actualidad. Las compañías aún no han aprendido del todo que «los datos que acumulan no son suyos sino de los titulares», aseguró Piñar. Tener esto claro es el primer paso para que una empresa no cometa el error de tratar los datos para una finalidad para la que no se ha dado el consentimiento, como cederlos a otra o emprender campañas comerciales con ellos.

A evitar

José Luis Piñar expuso un curioso caso de uso indiscreto de los datos y que puede acabar en sanción. Un hotel que envía una carta de fidelización a un cliente que se ve allí con un amante, y su pareja lo descubre al abrir el buzón. También recuerda que se debe evitar tener documentos a la vista en los despachos, como suele ocurrir, porque no se sabe quien puede verlos. Igualmente, no es recomendable llevar encima un «pendrive» con datos, porque siempre se puede perder. Además, Piñar recordó que «cada vez las personas despechadas ponen más denuncias, la competencia o empleados despedidos que saben que en su empresa se producen fallos de seguridad en torno a los datos».

En definitiva, las pymes y los autónomos tendrán que mantener los ojos bien abiertos para no cometer errores costosos. Desde SOS Seguros y Reaseguros S.A. ofrecen el asesoramiento necesario para estar totalmente cubierto, y como sostuvo Montserrat Fraga, dan «valor a la formación de los trabajadores para que puedan identificar por sí mismos las brechas de seguridad».

Apoyo: Para estar tranquilos

Es de sobra conocido que las pequeñas y medianas empresas y los autónomos hacen sobreesfuerzos para mantener a flote su negocio. Están a mil cosas a la vez y, por eso, es importante que otras cuestiones las dejen para otros expertos, como el asesoramiento legal. Carlos Nadal comentó que «una pyme ha de dedicarse a su negocio y despreocuparse por lo demás, que tiene que estar externalizado, entre ellos el tema asegurador y jurídico». Así, SOS Seguros y Reaseguros S.A. otorga a sus clientes una cobertura completa que incluyen, por ejemplo, «reclamaciones de consumo, pérdida de mercancías, problemas con el arrendador o la comunidad de vecinos. Además, el 59% de los siniestros requieren la intervención de un perito. Nosotros se lo damos», recordó Montserrat Fraga. Y los gastos de los abogados están también cubiertos hasta el límite de la póliza, que rara vez se traspasa.