El plazo para que empresas y organismos se adapten al nuevo reglamento de protección de datos ha concluido hoy, después de que la Unión Europea concediera dos años de lapso para que se aplicaran las medidas necesarias. Acaba así un periodo de adaptación que comenzó el 25 de mayo del 2016, cuando entró en vigor esta nueva normativa europea que, a partir de ahora, se comenzará a aplicar. Convivirá con la normativa española, la Ley Orgánica de Protección de Datos de 1999 y el Real Decreto que la desarrolla del año 2007. La conclusión de este plazo supone que el marco normativo incluya nuevos derechos del usuario, como es el derecho al olvido, la limitación al tratamiento o el de portabilidad de datos, y algunos puntos borrosos, que generan incertidumbre, como lo son las medidas de seguridad y organizativas que han de aplicarse en cada caso para cumplir con el reglamento.

Precisamente, en lo que se refiere a las medidas de seguridad, con la anterior normativa se establecieron tres niveles diferentes -básico, medio y alto- mientras que, ahora, en cada caso se deberán decidir cuáles son las medidas «adecuadas y suficientes» para aplicarlas a sus circunstancias. Un hecho que, como explica el abogado de 451.legal y experto en tecnologías de la información Javier Prenafeta, «genera algo de incertidumbre» a las empresas y organismos, que se encuentran con la situación de elegir qué aplicar sin saber exactamente si la Agencia Española de Protección de Datos estará de acuerdo. «Las empresas tienen miedo a la hora de ver qué es lo que tienen que hacer ahora», indica, y añade: «El reglamento solo habla de medidas de seguridad en un artículo, da unos parámetros para que dentro de eso se haga lo que se considere necesario, pero no dice qué medidas se deben aplicar».

Sin embargo, el reglamento puede resultar una normativa «más laxa», en la medida que las sanciones aplicables por el incumplimiento también se adaptan a cada caso, sobre todo para aquellas entidades que tratan datos que no se salen de lo común. Las sanciones pasan así a ser proporcionales y la máxima se traduciría en el pago del 4% de la facturación global de la empresa o hasta 20 millones de euros. «Por primera vez se tiene en cuenta el volumen de la empresa y el daño causado», por encima del tipo de sanción que se ha cometido.

También refuerza el consentimiento expreso de datos, aunque se mantienen algunas excepciones. «Se establece la privacidad por diseño y por defecto», es decir, que a la hora de plantear cualquier actividad en la que se manejan datos, se ha de tener «siempre en cuenta» la privacidad de los usuarios como premisa.