Protección de datos.
Abogados y empresas, preocupados por la adaptación al Reglamento Europeo de Protección de Datos
|
23/6/2017 04:58
|
Actualizado: 12/4/2022 10:45
|
La preocupación por la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) ha generado infinidad de seminarios que organizan los despachos de abogados desde su área de derecho tecnológico para sus clientes. En ese marco de intimidad, las preguntas son muchas. Andersen & tax legal, CMS Albiñana y Dutihl Abogados puntualizan algunas de las inquietudes que tienen las empresas en esa adaptación a la norma europea.
Para Natalia Martos, socia responsable del área de Nuevas tecnologías de Andersen Tax & Legal en Tecnología, lo primero que hay que advertir es el régimen de sanciones que pueden sufrir las empresas si no cumplen con esta normativa europea “El nuevo Reglamento General de Protección de Datos entrará en vigor el 25 de mayo de 2018 y las empresas que no cumplan con lo establecido en esta norma llegada esa fecha, podrán enfrentarse a sanciones que alcanzan los 20 millones de euros o el 4% de la facturación anual”.
De hecho, “cualquier empresa, europea o no, que preste sus servicios a residentes en la UE y tenga acceso a cualquier tipo de datos personales, deberá implementar las medidas técnicas y organizativas necesarias para el cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), para cuya adaptación se requiere de un proceso específico que puede durar varios meses”.
Según Martos, entre las principales novedades cabe destacar “los nuevos derechos en favor de los titulares, incluyendo, “la minimización en la recogida de datos”, el “derecho a la portabilidad” o el “derecho al olvido”. También recoge la necesidad de disponer del consentimiento expreso de los titulares de datos para recabar y tratar datos sensibles y apunta que el responsable tiene la obligación de demostrar que ha recabado correctamente dicho consentimiento”.
En relación con la figura del DPO (Delegado de Protección de Datos), nuestra interlocutora destaca que “la externalización de esta figura jugará un papel importante en las firmas de abogados que ayudarán a las empresas a abaratar los costes laborales de su contratación en plantilla. Hay que tener en cuenta también que el DPO cuenta con unas prerrogativas laborales especiales en cuanto a independencia, autonomía y despido, análogas a las de los representantes del comité de empresa”.
La adaptación a la nueva norma exige un proceso largo dentro de las compañías que debe arrancar lo antes posible para evitar sanciones posteriores
Sorprende que haya empresas españolas que aún sean reacias a iniciar el proceso de adaptación al RGPD que esperan una norma nacional o directrices de la AEPD que les guíen en este proceso. Para Martos es un error. Y es que el RGPD es una norma de aplicabilidad directa que no requiere de transposición por lo que cualquier normativa de rango nacional sólo vendrá a derogar todo aquello que contradiga al Reglamento que es plenamente exigible desde su entrada en vigor.”
Desde su punto de vista “La adaptación a la nueva norma exige un proceso largo dentro de las compañías que se demorará meses por lo que las empresas que no inicien su adecuación en el último trimestre del año, correrán un alto riesgo de sanción a partir del 25 de mayo de 2018”.
Una normativa europea que ha generado gran expectación
María Suárez, es socia del área tecnológica de Dutilh Abogados. Reconoce que este Reglamento Europeo “contiene importantes novedades que plantea en cuanto las obligaciones, destacando como estrella la creación de la figura del Delegado de Protección de Datos (DPO), que, en función de la tipología de datos y el tratamiento que lleve a cabo la organización, será obligatorio”. Al igual que el resto de expertos consultados por CONFILEGAL advierte de las sanciones económicas que conlleva su mal uso o incumplimiento.
Es preocupante que a estas alturas carezcamos de proyecto de adaptación de LOPD cuando el Reglamento es de aplicación directa
Desde Dutilh Abogados se observa que “las empresas están preocupadas por los temas de seguridad de la información y los criterios para homologar a los encargados de tratamiento y subencargados, por cuanto la responsabilidad recae sobre estas organizaciones como responsables del Tratamiento. También les inquieta la forma de acreditar la obtención del consentimiento en la contratación de servicios de forma telefónica”. Para esta experta es preocupante que a estas alturas “carezcamos de proyecto de adaptación de LOPD cuando el Reglamento es de aplicación directa”.
Respecto a las consultas jurídicas que se derivan de esta implantación Suárez comenta que “hemos empezado ya a evaluar la situación de algunas compañías para identificar sus “brechas” o gaps en relación con el cumplimiento del RGPD, a fin de adaptar a las nuevas exigencias sus políticas y procedimientos”.
Sobre la adaptación recuerda que «hay que hacerlo antes del 25 de mayo de 2.018, puesto que, actualmente, nos encontramos en la fase de transición antes de la aplicación directa de la norma. Las empresas multinacionales, con gran volumen de datos y tratamientos deberán adaptarse ante el riesgo de multas”.
Blanca Escribano, socia del departamento de Digital & Datos de CMS Albiñana & Suarez de Lezo considera que “Las organizaciones quieren cumplir al 100% pero todavía existe mucha incertidumbre por no tener en vigor la normativa nacional que desarrollará aquellos puntos sobre los que el Reglamento deja su desarrollo a los Estados Miembros, y por no tener disponibles esos mecanismos que se anuncian en el Reglamento y en los que las organizaciones confían que darán un poco de confort”.
Para esta experta, desde esta perspectiva “lo que más preocupa a las empresas ahora mismo es el hecho de que no están disponibles todavía los mecanismos de certificación, iconos estandarizados y los códigos de conducta sectoriales. Estas son las herramientas que el Reglamento de protección de datos habilita para “probar” que las medidas técnicas y organizativas diseñadas en el plan de cumplimiento, son correctas para un tipo de organización o sector en particular”.
Es evidente que habrá un periodo de adaptación donde habrá que contar con diferentes elementos como son la concienciación de la organización, el “data mapping”, la evaluación de riesgos o de impacto, la creación de una estructura de gobierno o los procedimientos para garantizar el ejercicio de derechos de los titulares de los datos. También hay que tener en cuenta las actuaciones que es necesario realizar a lo largo de toda la cadena de valor, así como las medidas de seguridad y protocolos a seguir en caso de una brecha de seguridad”.
No hay un modelo de adaptación estándar; y por eso es un proceso que genera cierta incertidumbre
Para esta experta: “en el proceso de adaptación al Reglamento, las organizaciones han de partir de la base de que las medidas organizativas y técnicas han de ser diseñadas conforme a su propia realidad, sector, actividad y naturaleza de los datos tratados. No hay un modelo de adaptación estándar; y por eso es un proceso que genera cierta incertidumbre que esperemos que disminuya una vez se desarrollen los códigos de conducta sectoriales, y las entidades de certificación. La “accountability” o responsabilidad activa ha de encontrar cierto confort en instrumentos que ayuden a prevenir y a demostrar el cumplimiento”.
Como ya abordásemos en otro reportaje en CONFILEGAL, las organizaciones se enfrentan a tener que abonar multas por hasta 20 millones de euros, o en su caso, el 4% de sus ventas anuales mundiales en caso de negligencia. Y es que las sanciones que fija la nueva normativa comunitaria pueden implicar también la prohibición del tratamiento de datos -lo que para algunos negocios puede conllevar el cese de su actividad-; o la suspensión de las transferencias internacionales de datos. De igual modo, las empresas, que tienen obligación de comunicar las brechas de seguridad que sufran, pueden ser objeto de demandas colectivas (class actions) por parte de los afectados.
Noticias Relacionadas:
