Noticias

Opinión.

Publican «Diez cuestiones clave sobre el Reglamento Europeo de Protección de Datos».

Para la abogada italiana Nobili la clave está en adaptarse en este momento previo al RGPD y su entrada en vigor «es un proceso de adaptación laborioso pero necesario. Una vez definidos nuestros riesgos, tratamientos, medidas de seguridad y quién se va a encargar de gestionar la privacidad de la empresa se trata de actualizarlo periódicamente. Al final debe convertirse en parte de la actividad habitual de la empresa».

25 de mayo de 2018

En una reciente publicación del medio español Confilegal se exponen las “Diez cuestiones clave sobre el Reglamento Europeo de Protección de Datos”.
Se sostiene que los despachos de abogados y las asociaciones profesionales no han cesado de organizar actividades para que sus clientes y asociados entiendan la repercusión del Reglamento Europeo de Protección de Datos (RGPD) y su entrada el próximo 25 de mayo.
Se cita a Camilla Nobili, asociada senior en Cremades & Calvo Sotelo, abogada italiana que vive en España, el despacho español que recientemente organizó un encuentro con empresarios y startups. “En este encuentro de puertas abiertas han hecho muchas preguntas. Están preocupados y no me extraña, las multas se han elevado a 20 millones de euros o el 4% de la facturación. En este formato de debate hemos compartido inquietudes con ellos”, señala.
Agrega que “si tienes recursos económicos puedes tener un mejor asesoramiento y optar, aunque no es obligatorio, salvo en unos casos, por contar con la figura del DPO, Delegado de Protección de Datos. Pymes, micropymes y startups tienen menos recursos  y han tenido que seguir los textos  y guías que la Agencia de Protección de Datos ha creado (AEDP) y que están colgados en su web”, aclara la abogada.
Respecto a las cuestiones que preocupan a las empresas, ha detectado diez aspectos importantes:

1-¿Qué hacemos con los clientes que ya tenemos, actuales y antiguos?

“Podemos tener algo claro tras la contestación que la AEPD hizo a una consulta que le formulo la patronal bancaria AEB. Se trata de saber cómo la podemos utilizar y con qué límites. Al final, hay que hacer un estudio caso por caso, ver los tratamientos que se están efectuando y su legitimación y desde esa perspectiva habrá que ver lo que se hace”.

Para esta experta “aquellos tratamientos actuales de datos que no se refieran a datos sensibles no tendrán que hacer evaluaciones de impacto a nivel de protección de datos. Pero no se puede dar una respuesta única”.

2-¿Hay que tener un Delegado de Protección de Datos?

Esta es una figura que se recomienda desde la AEPD sobre todo para empresas pequeñas que ayudarán a su gestión de la privacidad. Sin embargo, el RGPD la deja abierta para cuestiones muy concretas, gestionar datos sensibles o tener un tamaño importante como empresa y no lo convierte en obligatorio. “Todo depende del tratamiento de datos que se haga, sobre todo para disponer de este tipo de profesionales”.  Muchos despachos de abogados, que conocen bien la privacidad se están convirtiendo en  DPO de sus clientes.

En cuanto a la implementación, las posibilidades son varias “puede ser un profesional interno con ciertas competencias que no tenga conflicto de interés a la hora de realizar este trabajo o un experto que trabaje para varias empresas de forma externa. Es el caso de los grupos de empresa donde se puede nombrar un único DPO. Lo importante es que se pueda establecer una comunicación factible y que se haga en la lengua de quien solicita esa información a la empresa”.

3-¿Qué medidas de seguridad debo tener?

Hay que darse cuenta que “hay un nuevo enfoque en la aplicación del RGPD y en el desarrollo de estas medidas de seguridad. Antes estaba muy bien definido, en función de nuestros datos, básicos o de elevado riesgo estaba claro lo que teníamos que hacer. Sin embargo ahora hay que hacer un análisis, dependiendo de la naturaleza del tratamiento y de los riesgos que se tengan para ver qué medidas de seguridad se aplican a dicho tratamiento”.

Para Nobili “estas medidas con cierta periodicidad hay que adaptarlas. La periodicidad de la adaptación depende de si hubo cambios en el tratamiento o algunos cambios importantes en la empresa siempre que influyan en los tratamientos de datos personales habrá que consultarlos con el encargado de tratamiento y el propio DPO del que estábamos hablando”. De esta forma se acuña el principio de responsabilidad proactiva que emana del nuevo RGPD.

4-¿Cómo evito  las sanciones por incumplimiento del RGPD?

Otra cuestión que preocupa y mucho a las empresas. “Ahora las sanciones serán de 20 millones de euros o un 4% de la facturación de la empresa. Al mismo tiempo ser sancionado por este incumplimiento generará  un tema reputacional importante. En estos momentos sabemos que muchas empresas que cumplen con el RGPD van a pedir a sus clientes y proveedores que lo hagan, so pena no de seguir trabajando con ellos”.

Una de las consecuencias de estas sanciones elevadas es que “el encargado de tratamiento de datos en las empresas deba ser solvente y profesional en lo que haga. Esto genera que los proveedores de servicios se estén adaptando a este nuevo marco normativo”.

5-¿Tener un área de Compliance en la empresa es una ventaja para cumplir el RGPD?

Otra cuestión suscitada en los últimos días en diferentes foros profesionales tiene que ver con la relación entre el cumplimiento normativo y la adaptación al RGPD. “Es una ventaja, siempre hay que ver cada caso a nivel individual, pero se puede adaptar en materia de privacidad teniendo en cuenta los nuevos procesos”.

6-¿Qué nuevos derechos genera la adaptación al RGPD?

La entrada en vigor de este texto europeo genera nuevos derechos, entre ellos el de portabilidad, cambio de una empresa a otra en 24 horas de los datos personales, puede generar muchos conflictos. “Las empresas deben estar preparadas para que sus clientes les pidan sus datos y puedan irse a otra compañía de forma rápida sin traumas. El derecho a la portabilidad va a generar un gran esfuerzo para las empresas”.

En su informe el grupo del Art29 señala la importancia de este derecho a la portabilidad desde un punto de vista teórico “ahora habrá que ver desde el punto de vista práctico cuál es su repercusión indudable y en la práctica diaria del ejercicio de ese derecho”. Curiosamente muchas de las reclamaciones que recibe anualmente la AEPD son de operadores de telefonía y el cambio a otra empresa, cuestión que genera muchos problemas hoy en día.

Las empresas deberán ofrecer la portabilidad al cliente que lo pida casi de forma inmediata. Este nuevo derecho que emana del RGPD hasta el momento ha generado muchas reclamaciones en sectores como telefonía o seguros.

7-¿Es caro adaptarse al RGPD a nivel económico?

De todos estos cambios normativos que ahora llegan puede derivarse una preocupación por parte del empresario de no poder asumir económicamente este gasto que se hace en privacidad para adaptarse al texto europeo. “No podemos considerarlo que sea caro, sobre todo por lo que se juega la empresa a nivel de reputación y sanciones que ya hemos visto hace un momento. Al final es un valor añadido para la empresa”.

Para Nobili la clave está adaptarse en este momento previo al RGPD y su entrada en vigor “es un proceso de adaptación laborioso pero necesario. Una vez definidos nuestros riesgos, tratamientos, medidas de seguridad y quién se va a encargar de gestionar la privacidad de la empresa se trata de actualizarlo periódicamente. Al final debe convertirse en parte de la actividad habitual de la empresa”.

8-¿Cómo adapto la privacidad de productos y servicios desde su diseño?

El nuevo RGPD deja claro que el concepto de privacidad es un elemento clave para las empresas y que deben contar con él desde el principio. “Se trata que cualquier producto o servicio que vayamos a poner en marcha tenga en cuenta los tratamientos de carácter personal que hay ahí. Esto va a hacer que la figura del responsable de privacidad de las empresas tenga más protagonismo que nunca”.

En este contexto es bastante previsible “una mayor relación entre el área jurídica de cualquier empresa con la de productos y servicios de esa firma para lograr que cualquier producto y servicio se adapte a los cánones ya establecidos de privacidad. De esa forma evitaremos cualquier tipo de sanción a posteriori. Lo primero tendremos que ver qué riesgos en privacidad tiene ese nuevo servicio o producto que lanzaremos. Aquí el DPO puede ejercer este papel consultivo”.

9-¿Cómo queda ahora el llamado interés legítimo con este nuevo RGPD?

Es una figura que tiene más protagonismo en el RGPD porque al parecer está mejor regulado que antes. “En algunas ocasiones el tratamiento de los datos personales se puede legitimar por el consentimiento que ahora será expreso del afectado o por el interés legítimo que tiene la empresa de hacerlo.  En este caso el interés legítimo no debe afectar los derechos fundamentales de la persona. Habría que hacer una ponderación minuciosa entre el interés legítimo de la empresa y los datos personales”.

10-¿Qué hago si recibo una carta de la AEPD notificándome que se abre un expediente sancionador?   

“Habitualmente si recibo una carta es porque vienen a inspeccionarnos. Es fundamental que nuestro cliente esté siempre con su abogado o responsable de privacidad. Que de alguna forma sea este experto quien mantenga la conversación con el inspector. Es muy importante que nos enteremos que quiere la Agencia de nosotros”.

Para esta experta no cree que la AEPD cambie mucho en su manera de funcionar. “Seguirá actuando como hasta ahora, aunque es posible que en los primeros meses de entrada del RGPD se incrementen el número de denuncias, otra cosa es ver cómo la AEPD va a responder a lo que se le viene encima”.

El nuevo RGPD impulsa la llamada privacidad por diseño. Esto significa la concepción de cualquier producto o servicio desde esta óptica de la privacidad.  Ahora, el área jurídica de la empresa estará más presente en el lanzamiento de cualquier producto.

 

RELACIONADOS
*Sala de la Cámara de Diputados despachó reforma constitucional que consagra el derecho a la protección de datos personales…
*Sala de la Cámara de Diputados analizará hoy reforma constitucional que consagra el derecho a la protección de datos personales…

 

Te recomendamos leer:

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *