PUBLICIDAD
PUBLICIDAD

Empresas y entidades deberán demostrar que cumplen el RGPD que hoy entra en vigor

|

Hoy viernes 25 de mayo la Unión Europea arranca su nueva política de privacidad concretada en el Reglamento Europeo de Protección de Datos (RGPD). Una normativa que ha pillado en pleno de proceso de adaptación a la mayor parte de las empresas europeas. Un informe de la consultora IDC Research España revela que el 80% de los datos de las empresas españolas no están localizados y que tan solo el 25% tiene un plan sólido para cumplir con la normativa europea y otro 10% ya cumple la regulación. El resto sigue trabajando en su adaptación y en tener un Plan de Trabajo que se mantenga en el tiempo para cumplir dicha norma europea.

En este escenario muchas miradas se fijarán en los reguladores nacionales y con que severidad gestionen  las denuncias que les lleguen. Para este año la AEPD española contará con un 5% menos de presupuesto que año anterior. En declaraciones a CONFILEGAL, su directora Mar España, ha señalado el papel del Delegado de Protección de Datos (DPO), esencial para gestionar la privacidad de las empresas y sus conflictos, aunque el RGPD no lo considera obligatorio salvo en determinados supuestos.

PUBLICIDAD

Desde este viernes, las empresas tendrán que gestionar sus brechas de seguridad y notificarlas en un periodo no superior a 72 horas. Al mismo tiempo, las sanciones se incrementan de forma notable pudiendo alcanzar los 20 millones de euros o el 4% de la facturación global de la empresa. Elementos que preocupan a las grandes empresas y que a entidades más pequeñas podrían ponerlas en serio peligro de supervivencia.

PUBLICIDAD

La AEPD que ha lanzado al mercado diferentes guías para ayudar al cumplimiento del RGPD ya dijo en varias ocasiones que no habría moratoria de entrada al texto europeo.

Mar España directora de la AEPD y Cecilia Alvarez, presidenta de APEP en el V Congreso de APEP del pasado año.

Contar con buenos expertos en privacidad

En esa labor de asesoramiento se ha centrado la Asociación Española de Privacidad (APEP) que los próximos 7 y 8 de junio celebrará su VI Congreso con un destacado análisis del RGPD a los pocos días de su implantación. Sobre el día después al RGPD,  su presidenta Cecilia Álvarez señala que «estamos ante  el inicio de una nueva era. Es consciente que habrá que seguir “ trabajando en los flecos, testar cómo funcionan los procesos, corregir las deficiencias, mejorar la formación especializada y redimensionar donde proceda. En resumen: seguir trabajando con mejores herramientas”.

PUBLICIDAD

Alvarez recuerda que “incorporar la protección de datos no es sólo un asunto de las empresas, sino también de las organizaciones públicas que, como tal, deberían dar ejemplo. Deben estar orgullosas si ya cuentan con un@ DPO riguros@, con experiencia y bien formado, y con las herramientas para proteger mejor uno de sus activos empresariales más valiosos, los datos, y seguir trabajando para que los clientes, empleados y administrados puedan valorar los esfuerzos realizados (y los que vendrán) para respetar su privacidad”.

Su consejo para aquellas empresas que no estén adaptadas aún es que “ no  lo dejen para luego. Un programa de protección de datos en los procesos de digitalización es un trabajo continuo y cuanto mejor diseñados estén los procesos para incorporar la privacidad, más innovadores y competitivos podrán ser en el mercado (sector privado) y respecto de sus administrados (sector público)”: APEPseguirá trabajando en una formación de calidad, denunciando los cursos de “DPO Express” y apostando por su certificación, con el aval de que lleva gestionando su programa de formación y su programa de certificación de forma independiente y rigurosa desde 2010”.

Los ciudadanos tampoco conocen el RGPD

Los últimos escándalos relacionados con Facebook y Cambridge Analytica o el propio video de la expresidenta Cifuentes, utilizado de manera fraudulenta diez años después, han situado a la protección de datos en primera línea. Para Víctor Domingo, presidente de la Asociación de Internautas, el papel de esta entidad se centra en “divulgación ya que sólo el 23 % de los usuarios conoce el nuevo RGDP. E informar a los internautas de que tendrán el control sobre lo que las empresas hagan con sus datos, facilitados a través de un consentimiento”.

PUBLICIDAD

Otra cuestión que Domingo señala es que “ahora podremos interponer denuncia ante la Agencia como Asociación, cosa que ahora no se podía hacer, y entrar en contacto con otras asociaciones europeas para llevar denuncias en común. A la AEPD le pedimos atención y colaboración”.  A su juicio “a partir de ahora debemos constatar que nuestro derecho sobre el uso de nuestros datos datos sean más amplios, sencillos y eficaces y por ese efecto el poder que tendrán las agencias de protección de datos europeas sea mayor en la defensa y protección de nuestra privacidad online”.

La nueva normativa permitirá a los ciudadanos “ser más activos, libres y conscientes del tratamiento que las empresas hacen de sus datos y cómo se comunican con ellos, y saber que en este punto están junto a todos los ciudadanos de la Unión Europea cuyas RGPD se habrán unificado. Va a ser definitivo el papel de los internautas europeos elevando sus denuncias ante sus respectivas Agencias”.

PUBLICIDAD

Se abre un escenario nuevo

Alejandro Padin, counsel de Garrigues y  responsable del área de Privacidad y Protección de Datos del despacho de abogados más grande de Europa señala que «La vida sigue después del día 25. Se abre un escenario en el que muchas empresas no habrán tenido tiempo aún para adaptarse al nuevo reglamento y tendrán que hacer los deberes lo antes posible. Las que ya estén adaptadas, tendrán que seguir avanzando y preocupándose, ya que se trata de una cuestión dinámica: el cumplimiento del reglamento ha de ser a partir de ahora constante”.

Muchas empresas han decidido contar con un DPO porque ayuda a cumplir la obligación de proactividad que se deriva del RGPD

Para este jurista “Por eso es esencial que las empresas estén bien asesoradas, con el fin de evitar riesgos en un asunto tan fundamental para el negocio como es el tratamiento de datos. Por otro lado, es previsible que el número de contactos de las empresas se haya reducido de forma exponencial en algunos casos. Pero las bases de datos de contactos tendrán sin duda más calidad, serán más fiables y útiles”.

Alejandro Padin, counsel de Garrigues y  responsable del área de Privacidad y Protección de Datos.

Garrigues tiene un DPO, el mismo para todas las oficinas del mundo. La figura del DPO es importante porque ayuda a cumplir la obligación de proactividad, que es una de las características principales del nuevo reglamento. A juicio de este abogado experto en privacidad “Esperamos una mayor exigencia de los stakeholders a las empresas que tratan sus datos. Al fin y al cabo, este proceso trae consigo una mayor concienciación de las personas sobre el tratamiento de los datos personales que hacen las empresas”.

Los despachos ultiman su adaptación, contrarreloj

Leticia Hernández, abogada, experta en derecho regulatorio y mercados, puso en marcha su firma profesional LHM hace ya algo más de tres años, como alternativa a las grandes estructuras jurídicas y para dar también servicio en esos entornos regulados a las pymes y empresas que se internacionalizaban “Para firmas como la nuestra es más cómodo externalizar el servicio en un proveedor de privacidad de garantía. Este es un tema que requiere especialistas y la nueva gestión de los datos pide expertos que lo asuman con garantías”.

PUBLICIDAD

Tal y como comprobamos hace unos días en una jornada sobre el RGPD y despachos de abogados en el ICAM,  todas las firmas legales están adoptando  sus hojas de encargo y contratos a la nueva normativa europea. Una práctica donde lograr el consentimiento expreso del cliente es fundamental para el despacho, tay como dice el texto europeo. Otra cuestión que los bufetes han tenido que hacer es adaptar su web y newsletter a esta marco nuevo, como la mayor parte de las empresas. En ese sentido los programas informáticos que ayudan a enviar mail masivos personalizados ayudan bastante.

Leticia Hernández, abogada, experta en derecho regulatorio y mercados.

Muchos despachos como el de Hernández, ultiman su adaptación a una norma compleja, donde la falta de la LOPD ha dejado varias incertidumbres como señalaba José Luis Piñar, DPO del CGAE, quizás uno de los inconvenientes de esta reforma  puede repercutir en la promoción y captación de clientes de los propios despachos de abogados. “Hay que tener mucho cuidado con cualquier estrategia de captación de nuevos clientes o con el contacto con terceros porque ahí está el tema de consentimiento. Veremos a ver como los bufetes somos capaces de gestionar este asunto”, indica Hernández.

Los Colegios de Abogados también se adaptan

En este escenario, el papel de los Colegios de Abogados, como el de Málaga ha ayudado mucho a acercar la nueva normativa europea a sus colegiados. En los 83 Colegios existentes por todo el territorio nacional se han celebrado infinidad de jornadas sobre este tema. Recientemente Javier Álvarez, abogado del Colegio de Abogados de Valladolid  ofrecia en las II Jornadas de nueva tecnologías celebradas en Gijón  una ponencia sobre la adaptación de los bufetes al RGPD.

Según explica a CONFILEGAL, Javier Lara, decano de la entidad colegial malagueña “nuestra entidad ha formado a su personal interno en materia de privacidad y aprobada una política de datos adaptada al reglamento europeo. Al mismo tiempo  realizamos  su informe de análisis de riesgos en materia de protección de datos, actualizado su política de privacidad y redactado nuevos textos informativos ajustados al reglamento tanto para la web como para los usuarios que aportan datos a la entidad colegial».

Los Colegios de Abogados aumentan en de la transparencia en el proceso de recogida de datos y de la información que se le ofrece a sus colegiados con el nuevo RGPD

Para Lara, su decano hay evidentes beneficios que aporta el nuevo RGPD a los colegiados de esta o cualquier otra entidad similar “se aumenta la claridad de la información que se proporciona a los colegiados y se amplian derechos que antes no existían como el derecho de portabilidad o limitación de tratamientos de datos. Realmente se propicia un aumento de la transparencia en el proceso de recogida de datos y de la información que se le ofrece al colegiado”. Este Colegio, como otros tantos, ha optado por contar con su Delegado de Protección de Datos.

El RGPD, un reto para la privacidad de las empresas

Desde el portal online  reclamador.es  compañía online de servicios legales de reclamaciones creada en 2012  con el objetivo de utilizar la tecnología para defender los derechos de las personas frente a las empresas de manera sencilla y transparente también se ha hecho una adaptación al RPGD como nos indican “Hemos auditado de nuevo nuestros procesos internos y hemos implementado las adaptaciones que se nos ha requerido, entre otras, evaluaciones de riesgos, contratación del delegado de protección de datos, registro de tratamiento, etcétera”.

Para estos profesionales, son evidentes las mejoras que supone el RGPD «desde la obtención y tratamiento de los datos sea consentido e informado y, por otro, para que las empresas pongan los medios adecuados para garantizar a los usuarios que sus datos serán tratados únicamente para aquellos fines específicos que consientan expresamente”.

Con este nuevo RGPD se pide a las empresas expresamente que garanticen a los usuarios que sus datos serán tratados solo para los fines que consientan expresamente

A juicio de estos expertos “sin embargo es urgente  la LOPD y su reglamento de desarrollo, para que se concreten y especifiquen determinados conceptos jurídicos subjetivos e indeterminados que emplea el Reglamento Europeo, con el fin de que todos, empresas y usuarios, obtengamos la seguridad jurídica necesaria para su adecuada aplicación”.

reclamador.es eligió tener un DPO externo a la estructura laboral de la compañía, con el fin de garantizar su independencia y objetividad, asegurando” a nuestros clientes que nuestras decisiones sobre tratamiento de datos son auditadas por un despacho especialista“. También señalan que “siempre hemos utilizado un acto expreso y afirmativo de consentimiento a nuestros clientes, nunca hemos cedido sus datos a terceros y hemos sido respetuosos en el tratamiento de sus datos”.