El GDPR: “De la gestión al gobierno” de los datos personales en la empresa

Lefebvre Hub
Juan Pujol, presidente de Lefebvre – El Derecho, junto al consejero delegado José Ángel Sandín, este martes en Madrid. | FOTOS: Alberto Orellana

“Hay mucha gente que está descubriendo la ley de protección de datos en 2018, cuando venimos de 1999, e incluso 1992 en España”. Miguel Recio, abogado y consultor en Derecho de las Tecnologías de la Información y las Comunicaciones (TIC) lanzaba este martes un mensaje sobre la situación de muchas empresas ante el nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Desde Lefebvre – EL Derecho presentaron un nuevo software que facilite a las empresas afrontar esta normativa. Para pasar “de la gestión al gobierno de los datos personales”, apostó Recio.

Desde el Impact Hub de Madrid, expertos como Recio compartieron sus experiencias y repasaron algunos de los puntos más importantes que atender para que las compañías se adapten, ya que especialmente con esta ley es “la clave del éxito”, según defendió José Luis Piñar, delegado de Protección de Datos del Consejo General de la Abogacía Española y moderador del evento. El objetivo: “Conocer los datos, su tratamiento y su riesgo”, y hacer de ello una actividad “del día a día”, planteó Recio.

Con un telón de fondo de transformaciones digitales constantes, el reglamento que entrará oficialmente en el próximo 25 de mayo, obliga a las empresas a adaptar sus circunstancias a las exigencias europeas en el tratamiento de datos personales. Esto implica especialmente tomar conciencia del por qué y cómo se utilizan esos datos, y sobre todo registrarlo periódicamente. “No sirve solo con hacerlo; hay que dejarlo documentado”, apuntó Joaquín Muñoz, socio del despacho Ontier.

Lefebvre Hub

Uno de los principales cambios que se hará notar con la nueva normativa de protección de datos será el llamado ‘Principio de Responsabilidad Proactiva’. Según este principio, cuando una empresa vaya a desarrollar un nuevo proceso en el que utilice datos personales, deberá tener en cuenta dicha ley “desde el propio diseño” de ese procedimiento. De esta manera se “exige un análisis sucinto de qué datos se tienen, su función y el tratamiento que reciben”, aportó José Ángel Sandín, consejero delegado de Lefebvre – El Derecho.

Las compañías deberán, por tanto, “analizar, documentar y demostrar por qué” toma ciertas decisiones con los datos de sus clientes, tal como resumió Katiana Otero, asociada del centro de estudios Garriges. Y debe cumplirse pero no tanto por temor a las sanciones, (extendido temor de la mayoría de las empresas, según la opinión de los expertos) sino porque se trata de un derecho fundamental.

La GPDR establecerá multas “disuasorias” para evitar que haya compañías que valoren la rentabilidad de incumplirla, según apeló Muñoz. “Esto es muy serio y se trata de cumplirlo”, abundó. Los expertos coincidieron en que será habitual que haya “apercibimientos” o “toques de atención” sin perjuicios económicos para que las empresas se pongan al día. No obstante, Otero advirtió que “habrá que esperar” a las futuras actualizaciones de la norma.

Hay que pensar que “ya no es una cuestión de multas, sino de valor añadido para el cliente”, defendió Marcos Judel, vicepresidente 1º de la Asociación Profesional Española de Privacidad (APEP). Hay que “dejarse la piel vigilando que esa normativa se cumple”, remarcó. Demostrar que se han llevado a cabo las diligencias pertinentes para justificar que mi empresa “puede ir a 160” cuando otros van a 100, según metaforizó Piñar sobre la libre adecuación de cada empresa a la normativa.

Por tanto, se debe profesionalizar el registro de actividades de tratamiento según cada actividad y los datos que implica, que pueden verse traducidos en un excel “infinito”, destacó Judel. Ya no vale decir ‘yo no tengo datos personales’ y descubrir luego que el documento de seguridad de la empresa sobre esta información está “olvidado” y sin intención de ser actualizado, añadió.

En este sentido se hace especialmente relevante la formación específica, detallada y adaptada de la empresa sobre la normativa a cumplir en cada caso, así como tener un buen registro del tratamiento de los datos. Para facilitar esta labor se hace imprescindible contar con un buen Delegado de Protección de Datos (DPO por sus siglas en inglés).

Se trata de alguien que debe conocer en todo momento lo que debe cumplir la compañía, y que debe nombrarse para ayudar a demostrar que así se hace. “No es quien toma las decisiones, sino quien asesora y supervisa”, explicó Piñar, y “tiene que poder actuar con rigor y total independencia”, abundó. Puede ser un jurista o no (aunque en opinión de Muñoz juegan con ventaja), y sobre todo debe poder conocer el modelo concreto de tratamiento de datos para poder actuar con adecuación a la norma.

Para ello la documentación se vuelve una vez más “clave”, ya que si no hay información a la que acceder “es imposible tomar el control” ni demostrar que se cumple con la ley, como desarrolló Judel. Hay que tener a un asesor profesional y “proactivo” sobre protección de datos al que acudir para “prevenir de lo que venga después”, apostilló sobre los cambios venideros. Porque lo que está claro es que la GPDR “es un punto y seguido en la cultura de la protección de datos”, defendió Recio.