¿Está preparada su empresa para el nuevo Reglamento de Protección de Datos?

La normativa europea empezará a aplicarse el 25 de mayo. A pesar de los dos años de margen para adecuarse a las nuevas obligaciones, muchas empresas todavía no han adaptado sus estructuras.

El Reglamento General de Protección de Datos (RGPD) es uno de los cambios normativos más importantes llevado a cabo por la Unión Europea. Esta legislación, de obligado cumplimiento a partir del 25 de mayo de 2018, otorgará un mayor grado de control a los ciudadanos sobre su información privada en el mundo 2.0, pero también impondrá cambios radicales para las empresas y éstas deberían llevar dos años adaptando sus protocolos y estructuras si no quieren ser sancionadas.

Pero, ¿están preparadas las empresas españolas ante la próxima aplicación de este nuevo marco legal? Rafael García, jefe del área de internacional de la Agencia Española de Protección de Datos (AEPD), resume la situación actual afirmando que “no estamos ni tan bien como deberíamos, ni tan mal como podríamos. El margen de tiempo de adaptación otorgado por la UE -dos años- ha sido un periodo razonable y muchas empresas ya han hecho los deberes. Otras, sin embargo, están dejando esta labor para el último momento, lo que les puede acarrear ciertos problemas”.

Para Rosa Rodríguez, directora de la asesoría jurídica de Securitas Direct, la gran ventaja de España y sus compañías es que nuestro país “tiene un mayor grado de madurez que otros estados respecto al tratamiento de datos, puesto que la Ley Orgánica de Protección de Datos era muy fiel a la directiva y la AEPD siempre se ha mostrado muy estricta en su cumplimiento”. La letrada, sin embargo, afirma que el RGPD impone cambios muy relevantes, por lo que es esencial contar con el apoyo de la cúpula directiva, realizar cambios en el proceso de organización y abrazar nuevas metodologías.

Camino por recorrer

Algo que corrobora Paola Redecilla, compliance officer de Experian, que asegura que en su firma, a pesar de haber iniciado los cambios desde el primer momento y así haber logrado una buena adaptación, todavía queda mucho por hacer. “Sólo existe una manera de avanzar en la buena dirección y ésa es contar con la implicación de todos los departamentos de la compañía -de arriba a abajo-, puesto que esta normativa afecta a todas las divisiones”.

La complicidad de todos las áreas de las empresas es uno de los asuntos más relevantes para Francesc Vallès, responsable de regulatorio y asuntos públicos de Hill+Knowlton Strategies. El experto también destaca que el RGPD trata de buscar un equilibrio entre los datos y su flujo dentro de la actividad económica mediante una serie de obligaciones, pero es esencial “encontrar la manera de convertir esas imposiciones en un valor añadido para cualquier compañía”.

En ese mismo sentido se expresa Raúl Pérez García, global presales manager de Panda Security, que asegura que “el que vea el RGPD como un obstáculo se está equivocando y simplemente no lo quiere aplicar. Existe un claro descontrol, los datos están desperdigados y el RGPD cuenta con herramientas para tratar de aunarlos y minimizarlos”.

Justamente, para García, una de las oportunidades que brinda el reglamento a las compañías es que éstas, aplicando las obligaciones de la nueva norma, lograrán conocer en profundidad los datos de que disponen y encontrar un nuevo valor a este tipo de información.

Uno de los aspectos que más preocupación genera, y que consigue la unanimidad entre todos los expertos, es que el RGPD, que empezará a aplicarse en menos de cuatro meses, sigue generando muchas dudas. “Si el regulador europeo ha querido ser vago y no precisar ciertos aspectos es por voluntad propia”, explica el jefe del área de internacional de la AEPD. García insiste en que, en este sentido, no tiene duda de que el nuevo Comité Europeo de Protección de Datos -organismo integrado por los directores de todas las autoridades de protección de datos de la UE- “tendrá un papel protagonista en la interpretación y aclaración de muchas de esas incógnitas”.

Sanciones

Otro tema que preocupa, y mucho, a las compañías es el de las sanciones aplicables en caso de incumplimiento del reglamento europeo. “El sistema sancionador del RGPD es brutal, incomparable con otras normas, y genera un nerviosismo elevado porque se desconoce cuál será el criterio empleado para multar, teniendo en cuenta la ambigüedad del texto legal”, comenta Redecilla. Algo semejante apunta Rodríguez, que asegura que “es necesario ampliar los conocimientos sobre el nuevo marco legal, puesto que hay muchos asuntos interpretables y que podrían acarrear serias sanciones”.

Frente a esta última afirmación, García reconoce que el RGPD no es exhaustivo en la explicación de las infracciones y sus posibles castigos. Sin embargo, también explica que aunque esta norma cuenta con multas muy elevadas, está convencido de que “para determinar la sanción aplicable se tendrán en cuenta aspectos como la cooperación de la compañía durante la investigación, el nivel de aplicación de las obligaciones del RGPD, así como la actividad proactiva de la empresa para proteger los datos personales de los usuarios y clientes. Nuestro sistema sancionador es muy estricto y no deja espacio a la interpretación. Este nuevo marco jurídico es, en ese sentido, más flexible”.

Cambios más importantes

El Reglamento General de Protección de Datos ha impuesto importantes cambios a las compañías y éstas deberán implementarlas antes del próximo 25 de mayo.

Consentimiento. No se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Además, este consentimiento debe ser revocable en cualquier momento. Las compañías deben asegurarse de que los datos sólo están siendo empleados para los fines para los que fueron recabados.
Comunicación de fallos. El responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, si existiera algún riesgo para sus derechos.
DPO. El ‘data protection officer’ o delegado de protección de datos es una figura esencial en el nuevo reglamento europeo. Éste tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos.

Fuente: aqui

Deja un comentario