Confilegal
Confilegal
Menú
Diez cuestiones clave sobre el Reglamento Europeo de Protección de Datos
Portada / Áreas y Sectores

Diez cuestiones clave sobre el Reglamento Europeo de Protección de Datos

|
21/5/2018 06:05
|
Actualizado: 28/6/2018 13:23
|

En esta noticia se habla de:

Jornada de puertas abiertas en Cremades & Calvo Sotelo, seminario en Zaragoza de ECIJA con la presencia del ministro Rafael Catalá, evento de Andersen, Tax & Legal en Valencia,  jornada de APEP sobre menores e Internet, IV Congreso de Derecho Digital de ENATIC … los despachos de abogados y las asociaciones profesionales no han cesado de organizar actividades para que sus clientes y asociados entiendan la repercusión del Reglamento Europeo de Protección de Datos (RGPD) y su entrada el próximo 25 de mayo.

Los expertos consultados por CONFILEGAL detectan una elevada preocupación por parte de las empresas a la hora de poder cumplir una normativa tan compleja. Hay que indicar también que la falta de la LOPD ha provocado que muchos conceptos del RGPD indeterminados queden algo difusos. Pero las más de 300 enmiendas ha impedido que la nueva normativa de privacidad española estuviera en su día. A falta de unos días para la entrada en vigor del RGPD pocas empresas estarán cien por cien adaptadas a la norma europea.

Camilla Nobili es asociada senior en Cremades & Calvo Sotelo, el despacho español que recientemente organizó un encuentro con empresarios y startups. Coordina un equipo de quince profesionales que está asesorando a empresas de toda índole “En este encuentro de puertas abiertas han hecho muchas preguntas. Están preocupados y no me extraña, las multas se han elevado a 20 millones de euros o el 4% de la facturación. En este formato de debate hemos compartido inquietudes con ellos.

Se da por hecho que muchas grandes empresas han tenido tiempo y recursos para adaptarse al RPGD. “Si tienes recursos económicos puedes tener un mejor asesoramiento y optar, aunque no es obligatorio, salvo en unos casos, por contar con la figura del DPO, Delegado de Protección de Datos. Pymes, micropymes y startups tienen menos recursos  y han tenido que seguir los textos  y guías que la Agencia de Protección de Datos ha creado (AEDP) y que están colgados en su web”, aclara esta abogada italiana afincada en España.

Respecto a las cuestiones que preocupan a las empresas, hemos detectado diez aspectos importantes:

1-¿Qué hacemos con los clientes que ya tenemos, actuales y antiguos?

“Podemos tener algo claro tras la contestación que la AEPD hizo a una consulta que le formulo la patronal bancaria AEB. Se trata de saber cómo la podemos utilizar y con qué limites. Al final, hay que hacer un estudio caso por caso, ver los tratamientos que se están efectuando y su legitimación y desde esa perspectiva habrá que ver lo que se hace”.

Para esta experta “aquellos tratamientos actuales de datos que no se refieran a datos sensibles no tendrán que hacer evaluaciones de impacto a nivel de protección de datos. Pero no se puede dar una respuesta única.

2-¿Hay que tener un Delegado de Protección de Datos?

Esta es una figura que se recomienda desde la AEPD sobre todo para empresas pequeñas que ayudarán a su gestión de la privacidad. Sin embargo, el RGPD la deja abierta para cuestiones muy concretas, gestionar datos sensibles o tener un tamaño importante como empresa y no lo convierte en obligatorio. “Todo depende del tratamiento de datos que se haga, sobre todo para disponer de este tipo de profesionales”.  Muchos despachos de abogados, que conocen bien la privacidad se están convirtiendo en  DPO de sus clientes.

En cuanto a la implementación, las posibilidades son varias “puede ser un profesional interno con ciertas competencias que no tenga conflicto de interés a la hora de realizar este trabajo o un experto que trabaje para varias empresas de forma externa. Es el caso de los grupos de empresa donde se puede nombrar un único DPO. Lo importante es que se pueda establecer una comunicación factible y que se haga en la lengua de quien solicita esa información a la empresa”.

3-¿Qué medidas de seguridad debo tener?

Hay que darse cuenta que “hay un nuevo enfoque en la aplicación del RGPD y en el desarrollo de estas medidas de seguridad. Antes estaba muy bien definido, en función de nuestros datos, básicos o de elevado riesgo estaba claro lo que teníamos que hacer. Sin embargo ahora hay que hacer un análisis, dependiendo de la naturaleza del tratamiento y de los riesgos que se tengan para ver que medidas de seguridad se aplican a dicho tratamiento”.

ParaNobili “estas medidas con cierta periodicidad hay que adaptarlas. La periodicidad de la adaptación depende de si hubo cambios en el tratamiento o algunos cambios importantes en la empresa siempre que influyan en los tratamientos de datos personales habrá que consultarlos con el encargado de tratamiento y el propio DPO del que estábamos hablando”. De esta forma se acuña el principio de responsabilidad proactiva que emana del nuevo RGPD.

4-¿Cómo evito  las sanciones por incumplimiento del RGPD?

Otra cuestión que preocupa y mucho a las empresas “Ahora las sanciones serán de 20 millones de euros o un 4% de la facturación de la empresa. Al mismo tiempo ser sancionado por este incumplimiento generará  un tema reputacional importante. En estos momentos sabemos que muchas empresas que cumplen con el RGPD van a pedir a sus clientes y proveedores que lo hagan, so pena no de seguir trabajando con ellos”

Una de las consecuencias de estas sanciones elevadas es que “el encargado de tratamiento de datos en las empresas deba ser solvente y profesional en lo que haga. Esto genera que los proveedores de servicios se estén adaptando a este nuevo marco normativo”.

Camilla Nobili, asociada senior en Cremades & Calvo Sotelo.

5-¿Tener un área de Compliance en la empresa es una ventaja para cumplir el RGPD?

Otra cuestión suscitada en los último días en diferentes foros profesionales tiene que ver con la relación entre el cumplimiento normativo y la adaptación al RGPD “Es una ventaja, siempre hay que ver cada caso a nivel individual, pero se puede adaptar en materia de privacidad teniendo en cuenta los nuevos procesos

6-¿Qué nuevos derechos genera la adaptación al RGPD?

La entrada en vigor de este texto europeo genera nuevos derechos, entre ellos el de portabilidad, cambio de una empresa a otra en 24 horas de los datos personales, puede generar muchos conflictos. “Las empresas deben estar preparadas para que sus clientes les pidan sus datos y puedan irse a otra compañía de forma rápida sin traumas. El derecho a la portabilidad va a generar un gran esfuerzo para las empresas”

En su informe el grupo del Art29 señala la importancia de este derecho a la portabilidad desde un punto de vista teórico “ ahora habrá que ver desde el punto de vista práctico cuál es su repercusión indudable y en la práctica diaria del ejercicio de ese derecho”. Curiosamente muchas de las reclamaciones que recibe anualmente la AEPD son de operadores de telefonía y el cambio a otra empresa, cuestión que genera muchos problemas hoy en día.

Las empresas deberán ofrecer la portabilidad al cliente que lo pida casi de forma inmediata. Este nuevo derecho que emana del RGPD hasta el momento ha generado muchas reclamaciones en sectores como telefonía o seguros

7-¿Es caro adaptarse al RGPD a nivel económico?

De todos estos cambios normativos que ahora llegan puede derivarse una preocupación por parte del empresario de no poder asumir económicamente este gasto que se hace en privacidad para adaptarse al texto europeo. “No podemos considerarlo que sea caro, sobre todo por lo que se juega la empresa a nivel de reputación y sanciones que ya hemos visto hace un momento. Al final es un valor añadido para la empresa”.

Para Nobili la clave está adaptarse en este momento previo al RGPD y su entrada en vigor “es un proceso de adaptación laborioso pero necesario. Una vez definidos nuestros riesgos, tratamientos, medidas de seguridad y quién se va a encargar de gestionar la privacidad de la empresa se trata de actualizarlo periódicamente. Al final debe convertirse en parte de la actividad habitual de la empresa”.

8-¿Cómo adapto la privacidad de productos y servicios desde su diseño?

El nuevo RGPD deja claro que el concepto de privacidad es un elemento clave para las empresas y que deben contar con él desde el principio “Se trata que cualquier producto o servicio que vayamos a poner en marcha tenga en cuenta los tratamientos de carácter personal que hay ahí. Esto va a hacer que la figura del responsable de privacidad de las empresas tenga más protagonismo que nunca”.

En este contexto es bastante previsible “una mayor relación entre el área jurídica de cualquier empresa con la de productos y servicios de esa firma para lograr que cualquier producto y servicio se adapte a los cánones ya establecidos de privacidad. De esa forma evitaremos cualquier tipo de sanción a posteriori. Lo primero tendremos que ver qué riesgos en privacidad tiene ese nuevo servicio o producto que lanzaremos. Aquí el DPO puede ejercer este papel consultivo”.

9-¿Cómo queda ahora el llamado interés legitimo con este nuevo RGPD?

Es una figura que tiene más protagonismo en el RGPD porque al parecer está mejor regulado que antes “En algunas ocasiones el tratamiento de los datos personales se puede legitimar por el consentimiento que ahora será expreso del afectado o por el interés legitimo que tiene la empresa de hacerlo.  En este caso el interés legítimo no debe afectar los derechos fundamentales de la persona. Habría que hacer una ponderación minuciosa entre el interés legitimo de la empresa y los datos personales”.

10-¿Qué hago si recibo una carta de la AEPD notificándome que se abre un expediente sancionador?   

«Habitualmente si recibo una carta es porque vienen a inspeccionarnos. Es fundamental que nuestro cliente esté siempre con su abogado o responsable de privacidad. Que de alguna forma sea este experto quien mantenga la conversación con el inspector. Es muy importante que nos enteremos que quiere la Agencia de nosotros”

Para esta experta “ no creo que la AEPD cambie mucho en su manera de funcionar. Seguirá actuando como hasta ahora, aunque es posible que en los primeros meses de entrada del RGPD se incrementen el número de denuncias, otra cosa es ver cómo la AEPD va a responder a lo que se le viene encima”.

El nuevo RGPD impulsa la llamada privacidad por diseño. Esto significa la concepción de cualquier producto o servicio desde esta óptica de la privacidad.  Ahora, el área jurídica de la empresa estará más presente en el lanzamiento de cualquier producto.

Noticias Relacionadas:
Los despachos Castillo Castrillón Abogados y Zapata & Boluda se fusionan para reforzar el área de Derecho Penal
La nueva Directiva de Información Corporativa obligará a 50.000 empresas a informar sobre sostenibilidad
BDO Abogados refuerza su área Digital & Tech con la incorporación de Javier Aranda como director
CMS anuncia 54 nuevos socios a nivel global en el último año, solo un español: Ricardo Héctor Lorca
Los abogados especializados en privacidad impulsan el revitalizado mercado laboral
Miguel Fraga, nuevo socio de  Mercantil y M&A en el despacho Herbert Smith Freehills
Lo último en Áreas y sectores