Después de dos años de transición, la entrada en vigor el próximo mes de mayo del nuevo reglamento europeo implicará más obligaciones para las empresas a la hora de obtener y manejar los datos de sus clientes, como explica la experta en Derecho Digital y profesora del programa que ha lanzado Fundesem sobre esta materia, Esther Botella. Para empezar, porque se impone el «principio de responsabilidad activa», es decir, que las empresas deben actuar de forma preventiva para evitar que se produzca cualquier infracción de la normativa desde el inicio.
Así, una de las novedades es que el consentimiento para el tratamiento de datos debe ser «una acción positiva». Por ejemplo, se acabaron esas páginas en las que se acepta el tratamiento de datos por defecto o, en todo caso, hay un botón que hay que clickar si queremos negarnos. Ahora, por contra, sólo podrán utilizarse esos datos si el cliente pincha expresamente en un apartado en el que ponga «Sí, acepto». Además, también rige el principio de transparencia, por lo que esta opción de aceptar en ningún caso debe estar clickada por defecto. Tampoco se podrá condicionar la prestación de un servicio a la aceptación del tratamiento de datos.
Igualmente, el nuevo reglamento vincula a todas las empresas que traten datos de ciudadanos europeos, lo que significa que aunque la compañía tenga su sede fuera de la UE también deberá cumplir la normativa, no como ocurría hasta ahora, según explica Botella.
Pero, sin duda, uno de los mayores cambios es la obligación de que las empresas de más de 250 empleados o aquellas que hagan tratamientos de datos a gran escala deberán contar con un «delegado de protección de datos», una persona responsable de asegurarse de que la firma cumple con todas sus obligaciones. Por último, las compañías también tendrán la obligación de comunicar cualquier fallo de seguridad en 72 horas.
