Análisis

  • Mar España. Directora de la Agencia Española de Protección de Datos

Nuevos retos para la protección de datos personales

El Reglamento General de protección de Datos (RGPD), aplicable desde el pasado 25 de mayo en los Estados miembros de la Unión Europea, tiene como finalidad garantizar y proteger las libertades públicas y los derechos fundamentales de las personas, en particular el honor y la intimidad personal y familiar. Para ello, confiere a las personas un mayor control de sus datos, además de adecuar la normativa a la evolución tecnológica experimentada en los últimos tiempos, que ha supuesto un cambio de paradigma tanto en las relaciones económicas como sociales.

El Reglamento supone una modificación sustancial en el modelo de cumplimiento para aquellos que tratan datos. Uno de los cambios principales es la denominada responsabilidad proactiva, un cambio de filosofía en el que cada responsable y encargado del tratamiento debe trabajar de manera preventiva para estar en condiciones de cumplir y demostrar que cumple con las disposiciones del RGPD.

La Agencia Española de Protección de Datos (AEPD) ha desarrollado en los dos últimos años una amplia labor de concienciación orientada tanto a empresas y Administraciones Públicas como a los profesionales, ya sea a través del lanzamiento de materiales de utilidad como mediante la realización de sesiones informativas. Además, la Agencia firmó el pasado marzo un Protocolo General de Actuación con Unión Profesional (UP) con la finalidad de apoyar y facilitar el cumplimiento de la nueva normativa tanto a los Consejos y Colegios profesionales como a sus colegiados.

La colaboración se concreta en que la AEPD pone a disposición de UP las herramientas, recursos y contenidos que puedan facilitar el conocimiento y cumplimiento de la normativa para que Unión Profesional las difunda entre las corporaciones colegiales y los profesionales a ellas adscritos, así como en la organización y participación en talleres y acciones formativas con esta misma finalidad. Entre estos materiales cabe destacar la herramienta FACILITA, diseñada para facilitar el cumplimiento del RGPD a aquellos responsables del tratamiento que presenten un bajo o escaso nivel de riesgo en su actividad por tratarse de datos básicos. Aun cuando en el campo de la abogacía se tratan categorías especiales de datos y de condenas e infracciones penales, para cuyo análisis de riesgos no está configurada la herramienta, ésta sigue siendo útil para los tratamientos de empleados, candidatos o becarios.

Además, en el marco del Protocolo suscrito, esta asociación ha dispuesto un servicio de atención a las dudas y consultas que en el ámbito de protección de datos planteen tanto el Consejo y los Colegios profesionales como los propios colegiados, así como la posibilidad de canalizarlas a la Agencia cuando no pudieran ser atendidas.

Una de las novedades clave que incorpora el Reglamento es la figura del Delegado de Protección de Datos, que se constituye como un garante del cumplimiento de la normativa de protección de datos en las organizaciones. En la Agencia hemos querido aportar seguridad y fiabilidad tanto a las personas que van a ejercer esta profesión como a las empresas y entidades que van a contratar sus servicios, por lo que hemos promovido un Esquema de certificación de DPD en colaboración con la Entidad Nacional de Acreditación (ENAC), y con la participación activa de las principales asociaciones y colegios profesionales y sectores empresariales. Hay que precisar que esta certificación no es obligatoria para poder ejercer como DPD, aunque creemos que este Esquema ofrece una garantía para acreditar la cualificación y capacidad profesional de los Delegados, dotando a las empresas de un marco de referencia que establece las debidas garantías y seguridad.

El Reglamento recoge los supuestos en que es obligatoria la designación de un Delegado, y que son los siguientes: cuando el tratamiento lo lleve a cabo una autoridad u organismo público; cuando las actividades principales del responsable o del encargado consistan en tratamientos que requieran una observación habitual y sistemática de las personas a gran escala, o cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. El Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación parlamentaria, recoge en su artículo 34 la obligación de su designación por parte de los Consejos y Colegios profesionales.

En el caso de profesionales de la abogacía o bufetes, aun cuando con arreglo a los criterios del RGPD no estén obligados a designar un Delegado de Protección de Datos, la Agencia está impulsando que los Colegios presten ese servicio en forma de economía de escala para aquellos que deseen contar con esta figura de forma voluntaria. La contratación de este tipo de servicios resultará de utilidad y ayuda para el cumplimiento de la nueva regulación, además de atender, en su caso, los conflictos que en materia de protección de datos se pudieran producir entre los interesados y los profesionales, de manera que las reclamaciones se puedan resolver en vía amistosa, tal y como se prevé en el Proyecto de Ley Orgánica de Protección de Datos.

La designación de un Delegado de Protección de Datos es el primer paso de la hoja de ruta para cumplir el RGPD si esta figura es obligatoria para la organización o si se asume voluntariamente. De esa forma, se continuará con la elaboración del registro de actividades de tratamiento; el análisis de riesgos y, a tenor de los resultados obtenidos, la evaluación de impacto en la protección de datos si fuera necesario; la revisión de las medidas de seguridad y el establecimiento de mecanismos de notificación de quiebras de seguridad. A estas medidas hay que sumar la adecuación de los formularios con la información que debe ofrecerse; la adaptación de los procedimientos para el ejercicio de derechos; la adaptación de los contratos con los encargados si los hubiera y la elaboración/adaptación de la política de privacidad. Como se comentaba al comienzo del artículo, el RGPD subraya la importancia de acreditar la diligencia en el cumplimiento, por lo que es imprescindible documentar todas las actuaciones realizadas.

En la Agencia somos conscientes del esfuerzo adicional que la adaptación al nuevo modelo puede implicar para profesionales y empresas. No obstante, también estamos convencidos de que el nuevo marco normativo, planteado como un cambio de mentalidad en el tratamiento de los datos, será positivo no sólo para los ciudadanos sino que también permitirá el desarrollo de servicios de confianza que transmitan una mayor seguridad a los clientes.

Este sitio web utiliza cookies propias y de terceros para obtener información de su navegación por nuestro sitio web y poder realizar análisis de navegación y, en su caso, registro de su sesión. Si continúa navegando acepta nuestra política de cookies. Pinche en el siguiente enlace para obtener más información más detallada, así como de la desactivación de cookies: Más información.

Acepto