En el post de hoy, Henrique Vidal, consultor normativo y director de desarrollo en MH Consultores y asociado de la Asociación Profesional Española de Privacidad (APEP) es el encargado de hablarte sobre la protección de datos para tu empresa y explicarte, de una forma muy amena, los principales puntos del Reglamento para poder entenderlo a la perfección. ¡Espero que disfrutes con la lectura! 😉
El próximo 25 de mayo va a hacer 3 años que el nuevo Reglamento (UE) 2016/679, más conocido como RGPD o Reglamento General de Protección de Datos, adquirió carácter de obligado cumplimiento. Desde entonces, muchas empresas, asociaciones, Administraciones Públicas y demás organismos se han adaptado a dicha regulación jurídica… o eso creen.
¿De verdad cumplimos con la protección de datos?
¿Qué es la protección de datos?
Para dar una explicación sencilla a la vez que jurídica, podemos decir que es el cumplimiento de la normativa citada en el párrafo anterior. Dicha normativa regula, particularmente en la Unión Europea, las normas relativas a la protección de las personas físicas sobre el tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
Por lo tanto, en un mundo cada vez más globalizado, donde la información cada vez tiene más valor, y en un contexto absolutamente imparable de innovación tecnológica y de soluciones tecnificadas a todos los niveles, esta normativa viene a regular tanto qué se debe hacer para realizar un correcto tratamiento de la misma, como crear un espacio común europeo para su circulación, y que se respeten los derechos y libertades de los ciudadanos europeos en esta materia.
¿Quiénes están obligados a cumplir con ella?
En pocas palabras, TODOS, es decir, todo el mundo que realice tratamientos de datos de carácter personal, esto es: ciudadanos y corporaciones. Solo que, en el momento que saltamos la esfera personal y privada, hemos de tener en cuenta una múltiple cantidad de requisitos y conceptos para que nuestra actividad en el caso de autónomos, y/o nuestras empresas, asociaciones, clubes, Administraciones… puedan llevar a cabo, y demostrarlo, un correcto cumplimiento del RGPD.
¿Cómo adaptarse correctamente a esta normativa? Una autopista sobre el océano
Una de las mayores novedades que ha traído consigo el RGPD es el cambio de paradigma o forma de entender la concepción de lo que implica una correcta adaptación y cumplimiento de la normativa. Este es el punto en el que voy a ser más extenso porque, si comprendes bien este concepto, podrás entender bien, en una breve lectura, toda la implicación del cambio.
En la regulación anterior, que en nuestro país tenía como base la famosa LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), podemos decir que dibujaba un panorama como el siguiente: si vas por autopista, tienes tres carriles:
- Si tu corporación es de las que manejan solamente datos de carácter bajo (nivel bajo), tienes que cumplir todos los preceptos exigibles para quienes realizan tratamientos de nivel bajo. No te salgas del carril, y llegarás a tu destino (es decir: un correcto cumplimiento de la normativa de entonces).
- Si manejas datos de nivel medio, vete por dicho carril y todo irá bien; o vete por el carril de nivel básico para los tratamientos de nivel básico, y todo correcto.
- Por último, si realizas tratamientos de riesgo alto, debes ir por el tercer carril y sin desviarte. Solo podrás cambiarte de carril si el nivel de riesgo es inferior.
Pues bien, con el nuevo Reglamento sobre la mesa, se acabaron las autopistas del cumplimiento. ¿Por qué? En el artículo 24.1 de esta norma se recoge:
“Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”
Vamos a explicarlo:
- Se puede “garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Es decir, no es algo abstracto o relativo, al final de cuentas. ¿Cómo se hace esto?
- Se indica que “el responsable aplicará medidas técnicas y organizativas apropiadas”. ¿Pero cuáles?
- Esto es lo que no se dice: solo se dice que “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”, pero dicho “tener en cuenta” es una valoración que hay que hacer en cada caso, en cada momento, en cada situación, y nunca es permanente para un caso concreto.
Es por esto que querer pautar el cumplimiento de esta normativa en medidas concretas es lo mismo que construir una autopista en el océano: es imposible, y seguramente no sea ni práctico.
Por ello, podemos decir que, para un correcto cumplimiento del RGPD, hemos de abordar esta realidad como dirigirnos a nuestro destino por barco en el océano, no por una autopista con carriles bien marcados.
Ahora bien, ¿cómo se puede hacer esto?
¿Tengo que contratar los servicios de alguien para un correcto cumplimiento?
Siguiendo la argumentación de la metáfora anterior: ¿puedes ir a la mar en una embarcación solo? Tal vez si vas por la orilla sí, apenas vas a correr riesgos si apenas estás a algunos metros (no hace falta un capitán de barco para una colchoneta, una tabla de surf o similar) aunque, si no tienes experiencia previa, mejor contratar los servicios de un monitor que te ayude.
Si ya empiezas a tener mayor responsabilidad y riesgo, alejándote de la orilla y/o poseyendo una embarcación de cierto tamaño más allá de la embarcación de recreo, lo mejor será contar con los servicios de personal a bordo cualificado.
Algo así es lo más sensato que debe ocurrir, en mi opinión, con la gestión de la protección de datos en nuestros negocios y sujetos susceptibles de responsabilidad profesional: nadie que no tenga los conocimientos, la experiencia, el tiempo necesario, entre otras cualidades, debería pilotar un barco en las aguas tan complejas de la normativa y de los vaivenes de los cambios que agua, viento y clima pueden producir de un momento a otro.
Minimización de riesgos
Por supuesto que nadie, desde el principio atribuido de la buena fe, va a violar las leyes a propósito. Pero caso distinto es correr riesgos, siendo uno de ellos violar la Ley sin querer o sin saber, pero dichos supuestos no nos exoneran de la obligación de cumplir.
A mayores, existe otra dimensión relacionada, que es la gestión de riesgos en lo que se refiere al cumplimiento normativo. Sobre la protección de datos, al igual que en otros ámbitos ya no solo normativos, sino de la vida misma, no existe el riesgo cero. Tener riesgo cero es no emprender, no liderar un negocio, no ejercer una profesión. No crecer. Y eso, como es comprensible, no es posible.
Tanto los riesgos internos, por errores propios, como los externos, por amenazas de terceros, en mayor o menor medida intencionadamente, forman parte del proceso. De lo que se trata es de tomar medidas técnicas y organizativas, desde el diseño y por defecto, para conseguir identificar el mayor número de riesgos posibles, minimizarlos, o cuando menos minimizar su futurible impacto, ya sean potenciales o reales.
Protección de datos “desde el diseño” y “por defecto”
En el propio RGPD se define, en el artículo 25 y en otros, el concepto de una protección de datos desde el diseño y por defecto. ¿Qué quiere decir?
–Desde el diseño: desde la misma concepción (decisión, política de empresa, estrategia, etc.), de un determinado tratamiento de datos en la corporación, ha de tenerse en cuenta la dimensión “cumplimiento en proteccion de datos”.
–Por defecto: en todo momento, la protección de datos será una variable a tener en cuenta, y no puede saltarse, como norma general.
Dicho en otras palabras: el anterior concepto de disponer de una carpetilla en nuestra oficina con una inscripción de ficheros inscritos en la Agencia Española de Protección de Datos (ahora ya no se inscriben, por cierto), acompañada de un Documento de Seguridad perenne ya no vale. Vamos a tener que hacer más cosas, si queremos “demostrar” cumplimiento de las medidas técnicas y organizativas necesarias.
Delegado de protección de datos: ¿lo necesita mi negocio o institución?
Delegado de protección de datos (DPD); DPO, por sus siglas en inglés, hace alusión a una figura, que puede ser interna o externa, que deben incorporar determinadas empresas y organismos, con el fin de poder cumplir con el RGPD, además de poder llevar a cabo varios de los conceptos explicados anteriormente, si es que no todos. Dependiendo de la organización, debe nombrarse obligatoriamente; para otros casos, es recomendable.
Ha de nombrarse a alguien con los suficientes conocimientos en la materia, con el fin de que en su cometido pueda ofrecer soluciones, garantías y capacidad de resolución de incidencias.
Mi recomendación es que, si deseas saber si tu organización necesita un nombramiento (que ha de producirse ante la Agencia Española de Protección de Datos, por lo que tiene carácter oficial), solicites que siempre se te informe por escrito, indicando las razones de por qué es obligatorio, o no, en tu caso.
Tener riesgo cero es no emprender, no liderar un negocio, no ejercer una profesión. No crecer. Y eso, como es comprensible, no es posible.
¿Qué puede ocurrir si no? ¿Y las sanciones por incumplimiento?
De este y de otros asuntos, para no cansarte más después de este artículo, comentaré en un futuro post, que espero sea de tu interés.
Conclusión
Para quien no acaba de entender qué es la protección de datos, o quien no acaba de ver la necesidad, o tener las ganas de abordar esta realidad en su negocio o puesto de trabajo… Me gusta compararla con el dinero.
¿Te gusta hablar de dinero? ¿O de lo que puedes conseguir con dinero? ¿O de qué injusticia es que a alguien le roben el dinero que tanto le costó ganar con el sudor de su frente? El de uno mismo o el de alguien cercano. ¿Existen metas económicas en tu negocio?
¿Forman parte estas de la consecución de objetivos? ¿Estableces medidas de seguridad en tu negocio para su protección, buen recaudo y aumento? ¿Eliges a tus empleados en función de sus conocimientos en esta materia y hasta les brindas formación necesaria para que lo hagan cada día mejor?
Pues bien, si tenemos en cuenta que el recurso más valioso de una corporación es la información (muchas veces más incluso que la imagen de marca de una empresa) ¿crees que ahora puedo hablarte de algo que te interesa… y tanto?
Si has llegado hasta aquí leyendo, te lo agradezco, espero haberte sido de ayuda. Si no es así y casualmente has llegado aquí, o eres de las personas que leen solo el principio y el final para hacerte una idea del contenido, comentarte que te entiendo. Yo a veces también lo hago. Solo decirte que estoy hablando del futuro de tu negocio, tanto en términos estratégicos como económicos. Si aún así no vas a leértelo, lee solo, por favor, el párrafo anterior.
Muchas gracias por tu tiempo, que espero haya sido para un mayor provecho e inversión.
0 comentarios