Analizar los riesgos y evaluar el impacto en protección de los datos, claves para cumplir con el RGPD

Llenazo en la AEPD para conocer las últimas publicaciones de la AEPD. Muchas asociaciones empresariales representadas.
|

A tres meses de la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD), la Agencia Española de Protección de Datos (AEPD) presentaba este miércoles dos publicaciones que ayudarán mucho a adaptarse al nuevo entorno de privacidad. Tanto  la Guía de Análisis de Riesgo como la Guía de Evaluación de Impacto en la Protección de Datos  pretender ayudar a cada entidad en el reto de cumplir el futuro Reglamento.

A esta convocatoria han acudido numerosos representantes de asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.

PUBLICIDAD
PUBLICIDAD

Mar España, directora de la AEPD, recordó que el cumplimiento del RGPD supone que las organizaciones que tratan datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD dispone que esas organizaciones están obligadas a realizar una evaluación de impacto.

También comentó que el  RGPD supone un cambio del modelo tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento. “Con esta finalidad, el Reglamento incorpora el principio de responsabilidad activa de quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas”.

Para entidades que tratan datos de escaso riesgo, la Agencia ya ofrece Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.

PUBLICIDAD
Mar España, directora de la AEPD, conductora del acto, abordada tras la presentación. Hay muchas dudas sobre el RGPD.

Fue Andrés Calvo coordinador de Evaluación y estudios Tecnologicos de la AEPD, quien entró más en detalle de dichas publicaciones.  Sobre el análisis de riesgos en la protección de datos recordó que en el caso de organizaciones de calado “la Guía de Análisis de Riesgos recoge una metodología adecuada para evaluar el nivel de riesgo en relación con los tratamientos de datos personales que realizan. Esta guía también incluye plantillas y anexos de gran utilidad para empresas y profesionales”.

Al mismo tiempo recordó que “el análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos”.

PUBLICIDAD

Sobre la Evaluación del Impacto recordó que “es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen”.

PUBLICIDAD

A este respecto, considera que “la Guía de Evaluación de Impacto en la Protección de Datos ayudará a las organizaciones a identificar las actividades que conllevan un alto riesgo y a establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. Al igual que la Guía de Análisis de Riesgos, ésta también incluye plantillas y anexos que serán útiles para llevar a cabo la evaluación”.

También recordó que “en el proceso, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas”.

Por otra parte, la AEPD ha puesto en marcha este miércoles el servicio INFORMA_RGPD, que pretende servir de canal a través del cual los responsables y encargados de tratamiento o los delegados de protección de datos planteen las dudas y cuestiones que les puedan surgir en la aplicación del Reglamento General. Según ha podido sondear CONFILEGAL la acogida de este servicio de consulta ha sido muy buena:

Colegios Profesionales y el RGPD

Entre los asistentes a este encuentro, Gonzalo Múzquiz, secretario técnico de Unión Profesional (UP), entidad que representa a Colegios, Consejos Generales de todo el país. Un colectivo que recientemente organizó el I Congreso Nacional de Profesiones “Nuestro colectivo tiene más el perfil de corporaciones de derecho público con facultades atribuidas por la ley de derecho público, lo que hace que nuestra relación con la protección de datos sea muy estrecha y especial”.

Desde UP se indica la involucración con este tema y la buena relación con la AEPD y su directora Mar España “ hay una buena relación y un canal de colaboración directa con el regulador español en privacidad, cosa que agradecemos. Llevamos casi dos años trabajando en esta cuestión y en breve concretaremos esta relación profesional con la firma de un convenio entre ambas entidades”.

PUBLICIDAD

Estamos trabajando para poder llegar al 25 de mayo con los deberes hechos en materia de privacidad

Sobre el análisis de riesgos, Muzquiz recuerda que es diferente porque el colectivo es distinto y complejo “hay profesiones que tocan temas sensibles y de un gran riesgo para los derechos fundamentales de los ciudadanos, por eso hay que analizar cuáles son los esos niveles de riesgos en cada colectivo profesional”. Para este experto “ está claro que hay que ser proactivo ahora en materia de privacidad, requiere un cambio de mentalidad importante y en esa línea queremos transmitir dicha cultura a nuestros profesionales, también en áreas como competencia, transparencia, fiscalidad o derecho penal”.

Para este colectivo de profesiones liberales, la figura del Delegado de Protección de Datos (DPO), muy explicada en la futura LOPD y solo obligatoria en determinados casos en el RGDP, será muy útil para este colectivo”. Esperamos estar listos para el próximo 25 de mayo operativo, pese a la diversidad de entidades. Lo que hacemos desde UP, que agrupa a 33 Consejos Generales, 1000 colegios a nivel nacional y más de un millón de profesionales es promover esta cultura de cumplimiento. Estamos informando de estas iniciativas y ahora elaboramos una guía propia sencilla sobre protección de datos”.

ISMS Forúm, asociación tecnológica

Carlos Sáiz es el vicepresidente de ISMS Fórum, asociacion tecnológica muy volcada al campo de los nuevos retos normativos que hace un año creo con la colaboración de la AEPD, una guía de buenas prácticas en el uso del Big Data, tratamiento de datos a gran escala. “Todas estas publicaciones son útiles y bienvenidas por el sector, tanto público como privado. Son necesarias porque algunos puntos del RGPD generan incertidumbre. Asociaciones y regulador debemos de trabajar en pro de esas buenas prácticas”.

Carlos Sáiz, socio de ECIX GROUP y vicepresidente de ISMS Forum cuando presentó la Guia de Buenas Prácticas de Big Data.

Desde esta entidad, se trabaja recomendando a sus asociados “que no estén pendientes si van a tener una nueva LOPD en nuestro país. Es mejor con el RGPD de fondo”. Reconoce que es fundamental trabajar dentro de las organizaciones y órganos directivos para instaurar esa cultura de privacidad nueva, ahora proactiva”. Ahora la privacidad se eleva a un estado superior, clave para la reputación de cualquier empresa y ser más competitivo. “La economía digital a la que vamos señala que el valor de los datos es mayor.

Para Sáiz “Es importante proteger la información y al mismo tiempo salvaguardar los datos personales de terceros”. Sobre lo que sucederá a partir del 25 de mayo  en nuestro país, nuestro interlocutor señala que “ hay mucha gente que ha trabajado desde hace dos años, cuando se publicó por ver primera el RGPD, habrá otras que lo han dejado para el final. Lo importante es tener bien controlado tus riesgos porque la carrera empieza en mayo”.

La AEPD se ha mostrado flexible con la figura del DPO. Lo importante es que se cubra esa función definida en la entidad

Sobre el Delegado de Protección de Datos (DPO), figura que gestionará todo este nuevo paradigma en muchas empresas, Sáiz indica que “la normativa aclara las empresas que tendrán que contar con esta figura. Al mismo tiempo, la AEPD se ha mostrado flexible con la implantación de esta figura. Puede ser figura interno, persona, externo, todo incide en una función definida que acuña el término del gobierno de la privacidad. Se trata de saber a quién reporta y que funciones debe tener”.

En cuanto a que la metodología de estos DPO es similar a la de los responsables de cumplimiento normativo, el vicepresidente de ISMS Fórum comenta que “en ambos ocasiones hablamos de metodologías de riesgos que tienen elementos en común, pero si que es cierto que el asunto de privacidad tiene un elemento diferente. Y es que en la evaluación de ese impacto hay que considerar los derechos de las personas, no solo la protección de la información, un paso más avanzado que los clásicos análisis de riesgos”, explica.

A su juicio que se cree en la AEPD una unidad de atención a ese responsable de privacidad es una buena noticia.

Cumplimiento normativo y Privacidad, caminos paralelos

Sylvia Enseñat, presidenta de la Asociación Española de Compliance (ASCOM), quien también asistió a este encuentro informativo de la AEPD, señala que “Creemos que hay una relación estrecha entre el responsable de cumplimiento normativo y el Delegado de Protección de Datos. Hay metodología, funciones y tareas muy parecidas entre ambos profesionales, aunque el primero tiene un concepto más global”.

Sobre la adaptación al RGPD ante la fecha de entrada en vigor el próximo 25 de mayo, Enseñat destaca que “de cara los socios hacemos recomendaciones a la hora de implantar este tipo de sistemas de privacidad. En muchas empresas la figuras de responsable de cumplimiento y DPO coinciden”. Enseñat adelanta a CONFILEGAL que su entidad suscribirá un acuerdo con la AEPD para trabajar en esta nueva cultura de protección de datos y divulgar estas publicaciones recién presentadas.

En algunas organizaciones la figura del responsable de cumplimiento normativo y la del DPO confluyen en una única persona u organismo gestor de los riesgos de la compañía

Para esta experta en cumplimiento normativo “hay que darse cuenta que hacer un análisis de riesgos o una posterior evaluación de impacto en cuanto a los datos personales de nuestros clientes o terceros no es algo sencillo de realizar”. A su juicio el crear desde la AEPD un servicio de apoyo a los responsables de protección de datos es una iniciativa que se valora mucho debido a la complejidad del propio RGPD, donde hay términos indefinidos a nivel jurídico.

Desde su punto de vista “es lógico que en empresas de cierto volumen, la figura del responsable de cumplimiento o Compliance officer sea la misma persona. No se trata que desde ASCOM se recomienda una figura u otra, todo depende de cada empresa, de sus circunstancias internas y estructura. Habrá que analizar caso por caso”. Para Enseñar, el RGPD  y su cumplimiento es un salto cualitativo importante y  un reto para entidades publicas y privadas.