Desde el próximo 25 de mayo de 2018, fecha límite de aplicación del RGPD, cualquier empresa, grande o pequeña, que trate datos personales, no sólo tendrá que cumplir, sino también estar en condiciones de acreditar que cumple las obligaciones del Reglamento. Este nuevo Reglamento de Protección de Datos pretende armonizar las diferentes legislaciones de los distintos países de la Unión Europea en esta materia.
En este pequeño artículo vamos a insistir en un concepto que supone un cambio histórico en materia de responsabilidad. Las exigencias de esta normativa no son pocas y, en ocasiones, su redacción no goza de toda la claridad que fuera deseable. Por ello, vamos a intentar apuntar de forma clara y resumida cuáles son esas obligaciones a las que ya debemos ir adaptándonos.
El propio texto de esta nueva normativa europea, recoge como uno de los máximos principios en protección de datos el término responsabilidad proactiva, nos proporciona las dos herramientas que a nuestro modo de ver son más útiles a estos efectos y que son el principio de privacidad por defecto y desde el diseño y las evaluaciones de impacto en Protección de Datos. (EIPD)
Hasta hoy, muchas empresas simplemente pensaban que ya cumplían dotándose de un grueso de documentos entre ellos formularios de información y consentimiento, políticas de privacidad, a los que nadie hacía caso realmente. Eran solo papeles, y sólo salían del cajón en caso de inspección o expediente sancionador.
Pero, como hemos anotado, a partir de ahora, y con la plena aplicación del RGPD toda organización sujeta al reglamento va a estar obligada a acreditar una serie de acciones y obligaciones que podemos resumir en las siguientes:
- Llevar a cabo una evaluación interna de los diferentes tratamientos de datos personales, y en los casos que sea necesario rediseñar adecuadamente esos tratamientos de datos para garantizar la protección de esos datos.
- Comprobar que las medidas de seguridad que se hayan implementado están siendo realmente efectivas y cumpliendo su cometido, la garantía de la privacidad y con dencialidad de esos datos. Y en el caso de que esto no ocurra diseñar e implementar nuevas medidas que sean realmente efectivas.
- Acreditar que se aplica una política interna en materia de privacidad con obligaciones claras, acciones concretas y para las se haya designado responsables de su cumplimiento en cada una de las acciones a cumplir. La formación y responsabilidad activa de los responsables ha de ser el motor de cambio de esta nueva forma de proceder cambiando la cultura de la protección de datos personales.
También los mismos responsables han de ser exigentes con las que empresas que trabajen, es decir, sus encargados de tratamiento y otras entidades que intervengan en su cadena de contratación.
Para todo ello, es importante prepararse, solos o con la ayuda de expertos en protección de datos como los de Lexunion, y ser conscientes de que es importante y necesario no sólo cumplir con esta normativa para evitar sanciones, sino ser una empresa concienciada y responsable con los datos personales que tratamos.
Juan Carlos Olivares
Abogado
