Varias patronales y Cámaras de Comercio europeas han emitido un comunicado para pedir una moratoria para las sanciones del Nuevo Reglamento de Protección de Datos. La patronal Pimec fue la primera al pedir esta moratoria la semana pasada, alegando que "un 75% de las pymes catalanas todavía no han adoptado las medidas necesarias para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD)", que entra en vigor el próximo 25 de mayo.
Con este nuevo comunicado, Pimec asegura que hace todavía más patente el razonamiento de PIMEC de aplazar la aplicación de la nueva normativa europea. Aunque hace ya 2 años que está anunciada la puesta en vigor de este nuevo Reglamento, desde Pimec dicen que tres de cada cuatro empresas no tienen "el tema resuelto".
Pimec ha pedido una moratoria de 6 meses. Según Josep Gonzàlez, presidente de Pimec, "esta ley no deja de ser un cambio cultural como tantos otros, y estos cambios culturales cuestan de entrar". Al mismo tiempo, también hay que tener en cuenta que sólo en la totalidad de empresas que hay debajo el paraguas de la Pimec, la introducción de los cambios por esta nueva ley se calcula que tendrá un coste de 30 millones de euros, repartido en todas las empresas, según datos de Pimec.
El empresariado europeo también quiere más tiempo
A esta demanda de moratoria por parte de la Pimec se han añadido varias patronales y cámaras de comercio europeas, como UEAPME (de la cual Pimec ostenta la vicepresidencia), Hotrec o Eurochambres.
Las organizaciones consideran, según explican en el comunicado, que el llamado "Working Party" o Grupo de Trabajo del artículo 29 del Reglamento, que reúne los reguladores de protección de datos de los diferentes Estados miembros, ha empezado muy recientemente a emitir guías y notas interpretativas, y por lo tanto no ha habido bastante tiempo a estudiarlas.
Al mismo tiempo, tanto Pimec como las organizaciones europeas "se comprometen a seguir informando a las pymes sobre cómo aplicar el nuevo reglamento, pero piden un periodo de tiempo para que estas se pongan al día con la aplicación de la normativa" y piden también que durante este tiempo no se impongan sanciones monetarias sino que se hagan avisos del incumplimiento de la ley.
¿Qué comporta el RGPD?
Según la Autoridad Catalana de Protección de Datos, la innovación mayor del RGPD para los responsables la constituyen dos elementos de carácter general, que son, por una parte, el principio de "responsabilidad proactiva" y de la otra, "el enfoque del riesgo". En este sentido, lo que cambia es que se requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones para tratarlas llevan a cabo. A partir de este conocimiento, tienen que determinar de manera explícita cómo aplicarán las medidas que prevé el RGPD. En síntesis, "este principio exige que las organizaciones tengan una actitud consciente, diligente y proactiva ante todos los tratamientos de datos personales que lleven a término".
Además, el RGPD señala que "las medidas dirigidas a garantizar el cumplimiento tienen que tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y las libertades de las personas". Así pues, algunas de las medidas que el RGPD establece sólo se tienen que aplicar cuando haya un alto riesgo para los derechos y las libertades, mientras que otros se tienen que modular de acuerdo con el nivel y tipo de riesgo que presenten los tratamientos. Por lo tanto, la aplicación de las medidas previstas por el RGPD se tiene que adaptar a las características de las organizaciones.
Es por este motivo que las empresas más expuestas a los riesgos de sanción del RGPD son las empresas que tratan con un volumen mayor de datos, generalmente empresas de servicios.