La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha asegurado que gigantes de internet como Google y Facebook disponen de medios tecnológicos "punteros" para adaptarse al nuevo reglamento europeo sobre privacidad, por lo que su cumplimiento es más "un tema de voluntad".

"Por medios no será, porque tanto Google como Facebook tienen medios tecnológicos punteros. Es un tema de voluntad y lo iremos viendo en los próximos meses", ha asegurado en una entrevista con Efe, previa a que el nuevo Reglamento General de Protección de Datos (RGPD) sea de obligado cumplimiento a partir del próximo 25 de mayo.

La norma, que regula el tratamiento de cualquier dato personal y prevé millonarias multas para quien lo incumpla -hasta 20 millones de euros o el 4 % de la facturación-, sustituye a una Directiva en materia de protección de datos personales que data de 1995, antes de que Google, las redes sociales y los "smartphones" cambiasen para siempre el mundo digital en el que nos movemos.

El reglamento introduce nuevas reglas de juego en una economía en la que los directivos no se cansan de hablar de los datos como "el nuevo petróleo", aunque Mar España ha insistido en que el Big Data (análisis masivo de datos) "tiene futuro" y que si los datos son anonimizados, "no se aplica la normativa de protección de datos".

Una de las principales novedades de la norma es que las empresas deben obtener un consentimiento "explícito" de los ciudadanos "para cada finalidad" que quieran dar a sus datos, salvo que haya un interés legítimo, ha explicado la directora de la AEPD.

"No vale ya el consentimiento tácito, que quizás nos estén haciendo hasta perfilado (utilizar datos para evaluar determinados aspectos relacionados con la persona) basándose en que se supone que hemos consentido", ha remarcado.

Lo que el usuario "tiene que saber" es que las empresas están obligadas a informarle de cuestiones claves como "de dónde ha obtenido" los datos, "para qué los va a tratar", "cuánto tiempo los va a conservar" y "a quién se lo va a ceder", ha recalcado.

Esas nuevas exigencias pueden traer consigo cambios en los modelos de negocio de empresas que tratan datos, según Mar España, para quien Facebook, con más de 2.000 millones de usuarios a nivel mundial, debería también "cambiar su política de privacidad", para que haya mayor claridad en sus peticiones de consentimiento.

Y ha recordado que en casos como el de Cambridge Analytica nadie sabía que detrás de ese consentimiento explícito para usos científicos "había luego un perfilado para influir en las elecciones democráticas de países del mundo civilizado".

Este escándalo supone "un antes y un después" y compañías importantes que no hace tantos años "negaban la competencia" de las autoridades europeas, ahora ya "están poniendo en valor" el reglamento, ha señalado.

Facebook o Google son ejemplos destacados, pero no las únicas empresas que deben ajustar sus tratamientos de datos a la norma y Mar España ha reconocido que "las empresas serias" con millones de clientes "llevan ya meses pidiendo el consentimiento explicito".

El RGPD también se aplica a pymes, desde una clínica dental, con historiales de pacientes, a una peluquería con información sobre las alergias de sus clientes.

En el primer caso, se puede recurrir a los servicios del colegio profesional, al igual que en otros como farmacias o despachos de abogados, y en el segundo "lo sensato sería que la asociación de peluquería hiciera un análisis de riesgo tipo para ese caso de datos tan concreto y específico", ha apuntado la directora de la AEPD.

Sin embargo, en las pymes -el 99 % del tejido empresarial español- aún "queda mucho por hacer" en privacidad para que "el empleado no vaya tirando los expedientes a la calle", ha añadido.

Según unos datos provisionales de una encuesta impulsada por la AEPD, más de la mitad de las pymes conocen la nueva normativa y ocho de cada diez son conscientes de la importancia de la privacidad.

Las empresas que estén tratando datos a gran escala deben notificarlo a la Agencia a partir del 25 de mayo, pero, hasta ahora, las notificaciones no llegan a 1.400.

Nuestro país llegará al 25 de mayo previsiblemente sin nueva Ley Orgánica de Protección de Datos, cuya aprobación iba a coincidir con el inicio de aplicación del reglamento, pero se ha ido retrasando.

Esta situación, según Mar España, "es un inconveniente", porque el proyecto de ley prevé regulaciones beneficiosas para los ciudadanos -el testamento digital o no ser incluidos en un fichero de morosidad si se debe menos de 50 euros-, pero también "un plus de flexibilidad".

El proyecto, que Mar España espera que pueda estar aprobado antes del verano, prevé que, en caso de infracciones no suficientemente graves, la empresa tiene la oportunidad de resolver el conflicto en un mes, una posibilidad que sólo existirá en nuestro país.