- Andersen Tax & Legal celebra en Sevilla una jornada sobre la normativa europea de protección de datos
El Reglamento General de Protección de Datos (RGPD) supone un cambio en el modelo formalista hasta ahora vigente de protección de datos hacia un nuevo modelo de gestión del riesgo, basado en la cultura de “compliance” o cumplimiento normativo anglosajón. Bajo el nuevo marco legal, las organizaciones y empresas deben definir y establecer las medidas técnicas, organizativas y de seguridad basadas en el principio de responsabilidad proactiva de la empresa.
Así se puso de manifiesto durante la jornada El RGPD ya es una realidad, ¿y ahora qué? La normativa europea de protección de datos más allá del 25 de mayo, organizada por Andersen Tax & Legal, junto a Caja Rural del Sur y Cesur en Sevilla, y en la que participaron José Manuel Pumar, Socio de Andersen Tax & Legal y director de la oficina de Sevilla; Rafa Ripoll, Of Counsel de Andersen Tax & Legal; Isabel Martínez Moriel, responsable del área de Privacy, IT & Digital Business de la firma, y María García Zarzalejos, abogado del mismo área, así como Guadalupe Aragoneses, Responsable de Asesoría Jurídica y Cumplimiento Normativo de Caja Rural del Sur.
Durante su intervención, Isabel Martínez Moriel subrayó que, entre las finalidades del Reglamento, destacan la adaptación de las empresas al mundo digital, la protección al usuario y facilitar que las empresas puedan incorporar procesos internos en los tratamientos de datos que sean equivalentes en todos los Estados de la UE, lo que contribuye a la consolidación del mercado único digital. En concreto, indicó que el Reglamento incorpora nuevos derechos para el usuario, como el derecho al olvido, a la limitación del tratamiento o a la portabilidad, e implica una mayor protección de los usuarios mediante la responsabilidad proactiva por parte de la empresas encargada del tratamiento, que debe adoptar las medidas necesarias para cumplir con el Reglamento y estar en disposición de demostrar que se están aplicando.
Así, enumeró algunas de estas medidas como puede ser el registro de las actividades de tratamiento, la recopilación del consentimiento expreso para el uso de los datos, la configuración y desarrollo de la tecnología respetando el principio de privacidad por diseño y privacidad por defecto, adoptando siempre la más protectora de los datos, la elaboración de evaluaciones de impacto, la designación de un Delegado de Protección de Datos (DPO por sus siglas en inglés), una mayor flexibilidad y transparencia, o la pseudominización, de forma que no se puedan vincular con una persona información personal, o cómo utilizar datos anonimizados para finalidades analíticas o estadísticas.
Para la responsable del área de Privacy, IT & Digital Business de Andersen Tax & Legal, las medidas organizativas, como la formación de empleados o la protocolización de los procesos internos, entre otras, son tan importantes como las medidas técnicas para lograr minimizar los riesgos en el tratamiento de los datos.
“Vamos hacia la adopción de códigos de conducta regulados y mecanismos de certificación, de forma que se puedan estandarizar procesos y que los organismos de control, cono la Agencia Española de Protección de Datos (AEPD) pueda certificar las medidas adoptadas como las correctas”, apuntó Isabel Martínez Moriel, quien añadió que en el caso de los proveedores, las compañías cada vez más solicitarán certificaciones ISO con el fin de comprobar que sus proveedores cumplen con las medidas técnicas adecuadas. Hay que tener en cuenta que las propias compañías que contratan servicios a proveedores tienen la obligación de diligencia especial sobre los encargados de tratamiento.
Por su parte, María García Zarzalejos ha abordado la figura del Delegado de Protección de Datos, obligado para autoridades y organismos públicos, entidades que traten datos de forma sistemática a gran escala y por último, para empresas que traten datos sensibles (sobre salud, afiliación sindical o política…etc.) o sobre infracciones penales. En su intervención ha indicado que debe ser una persona que no sea susceptible de incurrir en conflictos de interés, por lo que no podría ser un miembro de la directiva o aquellos que decidan sobre el tratamiento de los datos directamente, como puede ser el responsable del departamento de IT o marketing. Asimismo ha destacado que esta figura puede ser tanto una persona interna de la organización o como externo mediante un contrato de prestación de servicios.
José Manuel Pumar recordó que el RGPD es un reglamento europeo de aplicación directa para todas las empresas y organismos públicos situados en la Unión Europea o que traten datos personales de personas que estén en la UE, con sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual, mientras que Rafael Ripoll explicó que el reglamento busca un acercamiento de las legislaciones de los 28 Estados miembros y da “un paso más hacia la práctica uniformidad de sus jurisdicciones”.