PUBLICIDAD
PUBLICIDAD

Todo lo que cambiará con la llegada del nuevo Reglamento Europeo de Protección de Datos

|

A pocos días de la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD), le hemos pedido a Ricardo Barrasa, presidente de la  Asociación de Auditores y el Control de los Sistemas de Información (ISACA Madrid), que nos  aclare  cómo va a afectar a la sociedad española los cambios que se impondrán con la nueva normativa.

Con casi 140.000 miembros en 180 países, ISACA es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información (SI), gobierno empresarial, administración de TI así como riesgos y cumplimiento relacionados con las Tecnologías de la Información.

PUBLICIDAD

Hace unos días tuvo lugar en el Auditorio Bankia el I Congreso de Auditoría & GRC. Un acto, al que acudieron cerca de 250 profesionales, en el que se habló te temas tan diversos como el RGPD, Auditoría en Blockchain, Transformación Digital, Data Analytics, Implantación de GRC, y COBIT.

PUBLICIDAD

Como han señalado diferentes expertos consultados por CONFILEGAL, el cambio es importante a nivel de privacidad. Desde los cambios de procedimientos, los controles y las multas a los que se van a enfrentar las empresas, lo que deben hacer y saber los  usuarios que quieran proteger sus datos, hasta quienes serán los profesionales que deben vigilar y establecer los mecanismos que nos protejan a todos, y el empleo que la nueva  normativa a va a generar entre estos profesionales.

Cambio de modelo de privacidad

Barrasa asegura que “con la actual LOPD, ahora en trámite de cambio a nivel parlamentario se nos obligaba a declaración ante la Agencia Española de Protección de Datos de los ficheros que contienen los datos personales de los interesados”

PUBLICIDAD

También había que “asegurar la información según el tipo y uso de los datos, que debe estar recogido en el documento de seguridad.  Y para poder utilizar los datos, obtener el consentimiento tácitodel interesado, es decir, ha dado su aceptación si no nos dice expresamente que “no”.

Con el nuevo Reglamento (RGPD)  “cambia profundamente la forma de gestionar la privacidad de los datos, advierte y destaca que “Se tienen que documentar e inventariarlos distintos flujos de datos personales (denominado Actividades de Tratamiento). Se cambian ficheros por procesos. Al mismo tiempo, la  seguridadsobre la privacidad se implementará en base al riesgo o exposiciónde la información personal”.

Otras novedades que señala el presidente de ISACA tiene que ver con que “los productos y servicios  se deben de diseñar e implementar con la seguridad adecuada. Es el llamado privacidad por diseño,ahora acuñado y que debe estar presente en cualquier producto y/o servicio que se lance al mercado”.

PUBLICIDAD

Respecto al consentimiento de los interesados por el uso de los datos “debe ser expreso y se debe documentar  y acreditar por cada uso de los datos (acciones comerciales, análisis de mercado, …) Esto va a generar un trabajo específico de redacción de explicaciones claras y detalladas para que el usuario tenga muy claro qué datos suyos se van a recogen y para qué se van a utilizar».

Multas disuasivas para los incumplidores

En este nuevo contexto de privacidad las multas que refleja el texto del RGPD son bastante elevadas.  “Actualmente la Agencia Española de Protección de Datos (AEPD) impone multas ante el incumplimiento de la legislación vigente. El GDPR sigue la misma filosofía, pero incrementándolas para que sea realmente sean disuasorias y proporcionadas”, señala nuestro interlocutor.

PUBLICIDAD

Estas multas administrativas, “pueden llegar a los 20 millones de euros como máximoo, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

La reforma de la LOPD, ahora en trámite parlamentario, no estará antes del 25 de mayo, como elemento que adapta la normativa española al RGPD. 

Al mismo tiempo “se impone la obligación de informar a las autoridades y a los interesados en caso de incidentes de seguridady su notificación en las setenta y dos horas siguientes. El propio RGPD recoge especial  sensibilidad con los datos de salud, orientación sexual, política,…”

Ricardo Barrasa explica que el nuevo modelo de privacidad supone un cambio importante de mentalidad en las empresas.

Desde ISACA, al igual que piensan otros expertos consultados por este medio se ve muy complicado que el proyecto de ley de nueva LOPD que lidera José Luis Piñar, presidente de la Sección Tercera de la Comisión de Codificación, como ponente de este texto legislativo se apruebe antes de la entrada en vigor del RGPD. Pese a ser un texto técnico el número de enmiendas presentadas supera las trescientas.

Barrasa indica que el “nuevo RGPD es de aplicación en toda la UE, y es lo suficientemente concreto y específico, pero ciertamente en cada país hay determinada casuísticas especiales, y es ahí donde entran las correspondientes agencias de protección de datos nacionales para ser más restrictivos (nunca lo contrario), o más específicos de la norma europea”.

PUBLICIDAD

¿Cómo se adaptan las empresas al RGPD?

Sobre la adaptación de las empresas al nuevo texto normativo, nuestro interlocutor señala que “lo primero que necesitarán las empresas será tener sensibilidad con la privacidad de los datos, diseñar productos/servicios  seguros… esto significa tener personal con esta capacidad”.

A su juicio todo pasa por implementar el DPO “esa persona es el Delegado de Protección de Datos (DPD o DPO en inglés), una figura obligatoria para la Administración Públicay para las grandes empresas(artículos 37, 38 y 39 del RGPD) y opcional para las demás, pero en mi opinión muy necesaria y siempre se puede contratar un DPD externo”, indica. Hay que recordar que entidades como CEPYME  ha recomendado a sus socios pymes que apuesten por ello.

Sobre esta figura destaca que “el DPD se determinará por sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho en esta materia y la práctica en materia de protección de datos.  Debo indicar que no es obligatorio estar certificado para ser un buen DPD. De hecho la AEPD ha definido un esquema para una certificación personal, a un no implementada”

A nivel de pyme la adaptación a la privacidad puede venir por externalizar este proceso “para una pyme que no trate datos sensibles ni tenga un elevado número de clientes personales, le recomendaría tener un proveedor externo que le proporcione el servicio de DPD y un Sistema Gestor de la Privacidad.”.

En cuanto al resto, Barrasa señala que es “muy probable que ya tuvieran personal propio o algún proveedor que les gestionaba el cumplimiento de la LOPD, les pediría que deben fijarse en la calidad del proveedor(esto no va de tener un papel que diga que se cumple) y que realmente cumplen con el RGPD , ya que son ellos, y no el proveedor, los responsables del cumplimiento”.

Respecto a los software que se deben utilizar en este cambio al nuevo modelo de privacidad, nuestro interlocutor indica que “creo necesario tener un Sistema de Gestión de la Privacidad. Si es una empresa grande o si manejan datos sensibles (p.e. sobre la salud) será interesante usar algún software que nos permita su gestión”.

No hay profesionales suficientes para gestionar la privacidad de las empresas. Habrá que formarse adecuadamente 

El uso de ese software ayudará a “inventariar los Tratamientos de Datos, documente los riesgos, las medidas implementadas, los consentimientos de los interesados, … de manera que podamos demostrar la diligenciaen el cumplimiento del RGPD ante la AEPD”.

En este nuevo escenario parece evidente que “sin duda se van a necesitar más profesionales de puedan hacer los correspondientes trabajos de adecuación de las empresas al nuevo reglamento, y actualmente no los hay en número suficiente.  Hay que formarse adecuadamente para ejercer como DPD con calidad”, destaca Barrasa.

En un escenario de tanto cambio, con tecnologías disruptivas vuelve a escenificarse el debate entre seguridad y privacidad “el uso de tecnologías del tipo big data, donde se aportan datos de todo tipo, estructurados y no estructurados, nos pueden hacer perder nuestra intimidad, nuestra libertad, por eso es tan importante tener nuestros datos controlados, que no se usen sin nuestro consentimiento, y solo para aquello para lo que autorizamos. El derecho a la intimidad, a la privacidad hay que valorarlo más, nos estamos jugando nuestra libertad”, subraya.