PUBLICIDAD
PUBLICIDAD

¿Qué piensan los expertos en privacidad sobre el Reglamento Europeo de Protección de Datos?

Marcos Judel y Carmen Sánchez Ors, vicepresidentes 1º y 2º de la Asociación Profesional Española de Privacidad (APEP), en un evento en el ICAM.
|

Hoy 28 de enero se celebra en toda Europa el día de la protección de datos desde 2006 como un momento para impulsar y concienciar sobre el derecho a la protección de datos personales. Se trata de una efeméride impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los países miembros para impulsar la cultura de protección de datos y la defensa de los derechos de los ciudadanos y ciudadanas.

Desde la Asociación Profesional Española de Privacidad (APEP) se insiste en que las organizaciones públicas y privadas necesitan sin duda diversos tipos de profesionales de la privacidad que les ayuden a asesorar a sus órganos de gobierno para el diseño de su estrategia en protección de datos, adecuar cuanto antes sus modelos de negocio y procedimientos al RGPD y formar a su plantilla. Por eso,  la figura del Delegado/a de Protección de Datos (DPD o DPO, por sus siglas en inglés) será esencial, sea este nombramiento obligatorio o no, conforme al RGPD y la futura Ley Orgánica de Protección de Datos “LOPD”.

PUBLICIDAD
PUBLICIDAD

En esta  conversación mantenida con Marcos Mª Judel y Carmen Sánchez Ors, vicepresidentes 1º y 2º de la  Asociación Profesional Española de Privacidad (APEP), sirve para conocer cuáles son las inquietudes de estos expertos, a los que se les va a exigir mucho en los próximos meses. Hoy se celebra el Día Europeo de la Protección de Datos “una fecha para reflexionar de lo que estamos haciendo. Este año la entrada en aplicación del Reglamento Europeo de Protección de Datos (RGPD ) el próximo 25 de mayo es el hito más destacado”, apuntan estos expertos.

 ¿Cómo deben valorar el cumplimiento del RGPD las organizaciones?

El RGPD llega en un momento en donde todos somos mucho más conscientes de la importancia de la información y más de la que nos afecta. Las empresas deben evaluar el RGPD como una oportunidad dado que establece criterios de gestión para la mejora de las actividades internas y que lleva a ser un buen garante en el tratamiento.

PUBLICIDAD

La obligación también de tener que notificar las violaciones de seguridad supone ahora que, de no hacerlo bien, se pueden ver afectadas en su reputación y prestigio, lo que genera desconfianza.

 ¿Supone el RGPD un cambio importante respecto a la normativa actual?

PUBLICIDAD

El RGPD es ciertamente una normativa compleja en muchos aspectos, y las empresas y organismos públicos con ciertos tipos de tratamientos de datos, como los que puedan resultar de una aplicación a gran escala, o se refieran a información sensible, podrían enfrentarse a situaciones nunca antes vividas en nuestro país.

PUBLICIDAD

Este texto normativo  crea una nueva cultura de protección de datos en todas las organizaciones, pasamos de un sistema reactivo a uno de proactivo donde los y las profesionales van a ser imprescindibles.

Esto va a exigir cambios organizativos, en los procesos de negocio y tecnología: aspectos como el nombramiento del/ de la DPO, la privacidad desde el diseño y por defecto, la realización de evaluaciones de impacto en privacidad o análisis de riesgos, la gestión de brechas de seguridad se vuelven fundamentales. Pero también hay cambios que afectan a las cláusulas informativas, en la forma de obtener el consentimiento o en la atención de determinados nuevos derechos de los ciudadanos… por lo que hay que darle un repaso general a todo.

Marcos Judel, vicepresidente 1º de la  Asociación Profesional Española de Privacidad (APEP).

 ¿Cuál es el principal reto en la aplicación del RGPD por parte de un profesional de la privacidad?

Es evidente que  el RGPD es muy complejo tanto a nivel jurídico como en lo relativo a su aplicación en la práctica. Hay muchos aspectos de la norma que afortunadamente en España ya conocíamos y veníamos trabajando con ellos desde hace muchos años, otros son totalmente novedosos y en muchos casos parte de los y las profesionales no los han aplicado nunca.

No es una cuestión baladí, el RGPD requiere de un proceso de análisis y estudio pormenorizado. Por ese motivo la APEP ha apostado desde hace años en ofrecer a sus asociados y asociadas una formación de calidad específica para afrontar los retos que supone asesorar sobre la aplicación de una norma de tal envergadura, dotándoles de los conocimientos y aptitudes para poder afrontar dichos retos.

PUBLICIDAD

Estamos convencidos  de que cualquier persona asociada de APEP que haya recibido nuestra formación, no teme el reto del RGPD.

¿De todas las novedades que trae el RGPD lograr el consentimiento expreso del usuario parece la más complicada ¿Como lograrlo?

En primer lugar, el consentimiento expreso ya existe actualmente en la LOPD y en la Ley de Servicios de la Sociedad de la Información. No es algo originalmente nuevo. España era de los pocos países, sino el único, que tenía articulado un sistema de consentimiento tácito para la recogida de datos para tratamientos básicos

Esto efectivamente desaparece y es sustituido por un consentimiento basado en “una clara acción afirmativa del usuario”, que unido a un adecuado sistema de información y transparencia, no será difícil de lograr.

Un aspecto muy relevante a tener en cuenta es que, aquellas empresas que actualmente basen sus tratamientos de datos en haber obtenido el consentimiento de forma tácita, a partir del 25 de mayo serían tratamientos ilegítimos, por lo que deberían ir adaptando ya su base de datos para tener los datos con un consentimiento adecuado al RGPD.

Por último, no podemos olvidar que el consentimiento es sólo un elemento más de legitimación para el tratamiento. Con el RGPD el interés legítimo también tiene un mayor protagonismo al incluirse en el mismo artículo de la licitud del tratamiento.

 ¿Qué nuevos derechos para el ciudadano surgen de la aplicación del RGDP?

Los derechos ARCO tradicionales no sufren grandes cambios en el RGPD. Algunos son reforzados, como el derecho de acceso a datos ahora con más información y transparencia, otros mantienen sus características a pesar del cambio de nombre y a otros se le añaden más funciones, como es el caso del derecho de supresión, que incluye una parte dedicada al derecho al olvido que es idéntica a lo ya dicho sobre el tema por el Tribunal de Justicia de la Unión Europea.

Pero el derecho más novedoso y controvertido es el de portabilidad. Para un ciudadano es un derecho pensado para facilitarle la vida, pero para el responsable de ese tratamiento que le obliga a entregar la información a otro responsable, le puede suponer en algunos casos todo lo contrario.

Es más, incluso puede haber conflicto por aspectos de propiedad intelectual, industrial, competencia… Es un tema muy delicado para algunas empresas y debe abordarse con mucha cautela y estudiando y reflexionando sobre cada caso.

Marcos Judel: El derecho más novedoso y controvertido es el de portabilidad. Para un ciudadano es un derecho pensado para facilitarle la vida

 ¿Cómo se van a organizar los DPD en los organismos públicos? ¿Cuál será el sistema más eficiente?

Lo primero será decidir si se crea una o varias figuras en la estructura o externalizarlo. En el caso de personal interno se deberá preservar su autonomía funcional, por lo que debe quedar fuera de la línea jerárquica de la organización, sí dentro de la estructura administrativa, pero no debe formar parte de la estructura de decisión.

Bajo mi punto de vista la creación de una estructura organizativa expresa, singular, descartándose un nivel de “alto cargo” pero adscrita a un departamento o área de ámbito transversal de la que dependerá, por ejemplo, su presupuesto será lo óptimo.

Para aquellas organizaciones con personal que opta por primera vez a funciones de DPD, y que en el pasado no han tenido relación directa con la materia, sería prudente plantear la temporalidad inicial de su designación.

La reutilización de figuras existentes como Responsables de seguridad o de transparencia y acceso a la información pública seguramente será una tentación, que se debería sortear pues pueden existir claras incompatibilidades en sus funciones.

 ¿Cuál es la responsabilidad del DPD ante una sanción que llegue a la empresa por incumplir el RGPD?

Hay que tener en cuenta que quien ha de cumplir con la normativa son los responsables y encargados del tratamiento, no la persona nombrada como Delegado de Protección de Datos. Su función es la de informar, asesorar y supervisar el cumplimiento, a la empresa u organización, al más alto nivel y con independencia.

Pero no es un mago. Las decisiones no van a depender de él. Así que, en una situación en la que el DPD ha realizado con diligencia su trabajo, y su empresa es sancionada, seguramente no tenga responsabilidad. De hecho el RGPD establece que no será destituido ni sancionado por desempeñar sus funciones.

Otra situación distinta será la derivada de si el DPD no ha realizado su trabajo o lo ha realizado negligentemente, y aquí se aplicarán las responsabilidades habituales tanto si es interno como si es externo, las mismas que tiene el contable o el auditor. Por ello, contar con un seguro de responsabilidad civil con una cobertura importante será fundamental, ya que recordemos que la sanción máxima ahora puede ser de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

¿Cómo valora la APEP las herramientas como “FACILITA” de la Agencia Española de Protección de Datos, que facilitan el cumplimiento del nuevo Reglamento?

Facilitar es un término positivo, con lo cual la respuesta debe ser en ese sentido. Pero se ha de apuntar una cuestión importante: las herramientas no hacen cumplir la normativa. Eso corresponde a los responsables de los tratamientos y a sus encargados y cada uno hace las cosas de una forma.

Ahora ya no hablamos de ficheros, sino de tratamientos y de riesgos: el poder determinar adecuadamente qué datos personales se recogen, cómo se usan, y para qué y valorar su riesgo permite establecer las medidas oportunas y aplicables a cada caso.

Carmen Sánchez Ors, vicepresidenta 2º de la  Asociación Profesional Española de Privacidad (APEP).

Lo que herramientas como FACILITA pueden hacer es aportar soluciones genéricas para algunos casos comunes, pero no sería prudente venderlas como la panacea, ya que se puede caer en el error de que con introducir cuatro datos e imprimir el resultado, ya se cumple con la normativa desde el minuto cero ad infinitum.

Carmen Sánchez Ors: La certificación profesional de un Delegado de Protección de Datos  (DPD) por una entidad solvente garantiza la experiencia y práctica de ese experto en privacidad

Y esa no es la cultura de responsabilidad activa que persigue el legislador europeo. Y si algo hay que tener en cuenta es que la protección de datos ahora va a ser más dinámica que nunca y que con herramientas o sin ellas, la APEP recomienda, para garantizar los efectivos derechos de las personas, que las empresas cuenten con un asesoramiento profesional especializado, lo que les garantizará enfocar bien la situación y reducir los riesgos de las elevadas sanciones económicas y de pérdida de confianza de sus clientes. Una mala decisión en esta materia, por barata que sea, puede salir cara.

¿Qué opinan de la necesidad de obtener una certificación profesional?

Aunque no sea obligatorio disponer de una, el mercado requiere identificar a los profesionales con unas determinadas capacidades y una de las mejores maneras para acreditarlas son precisamente las certificaciones profesionales.

Existen diversas certificaciones, cada una con sus características diferenciadoras, por ejemplo, la del Esquema de la AEPD (de cuyo Comité del Esquema de certificación de DPD la APEP es miembro) siguiendo la ISO 17024 conjuntamente con ENAC, entidad que acredita a las entidades que vayan a certificar bajo ese esquema (y estas a su vez a las formadoras). Este esquema se basa en la superación de un examen y unos prerrequisitos de experiencia o formación obtenidos a partir del 25/05/2016.

Desde la fundación de APEP, hemos apostado por la certificación profesional, tanto de conocimientos como de experiencia. La aprobación del RGPD con la obligatoriedad de la figura del DPD nos llevó a ampliar nuestra cartera de formación y de certificaciones específicas, a través de Itinerarios formativos, como la ACP-DPO Junior, para profesionales con menos de 2 años de experiencia, y la ACP-DPO Expert, para profesionales con experiencia superior.

Esta combinación de itinerarios capacitadores específicos y la red de colaboración que se ha establecido entre los profesionales/alumnos es un incuestionable valor que aportamos al mercado. Igual que antes comentábamos lo de las herramientas gratuitas, los profesionales de bajo coste pueden salir muy caros.

Así que antes de encargar la adaptación de nuestro negocio al RGPD por un profesional desconocido mejor que valoremos entre otras cosas de su currículo la experiencia general y práctica de nuestro ámbito de negocio, la formación especializada y si disponen de una certificación, la entidad que la ha emitido, su solvencia, que acredita concretamente, periodo de renovación, y código ético suscrito para valorar que se adapte mejor a nuestras necesidades.