IX Foro de la Privacidad DPI
El 1 de febrero de 2017 tuvo lugar un interesante foro en el auditorio principal de CaixaForum, organizado por el Data Privacy Institute y con asistencia de Rojas Pozo Abogados, en torno a las diversas cuestiones jurídicas, técnicas y organizativas que va a suscitar la aplicación del Reglamento de protección de datos europeo.
Por parte de la Directora de la Agencia Española de Protección de Datos (AEPD) se resaltaron los siguientes aspectos:
El Reglamento de protección de datos apuesta por un enfoque preventivo en contraposición con el todavía vigente enfoque reactivo a la hora de garantizar el derecho fundamental a la protección de los datos de carácter personal, siendo fundamental aplicar la protección de datos desde el diseño y por efecto.
La figura del Delegado de Protección de Datos (Data Privacy Officer) va a ser muy importante en las empresas como instrumento para la resolución de conflictos extra-administrativos y extrajudiciales. Contar con un DPO va a permitir disminuir la responsabilidad de los responsables y encargados del tratamiento en el procedimiento sancionador. Su perfil es conveniente que sea principalmente jurídico.
El derecho a la portabilidad de los datos, como nuevo derecho reconocido por el Reglamento, va a implicar una capacidad de adaptación de los sistemas de información de los responsables para poder hacer efectivo dicho derecho. Ahora el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto del tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir con su tratamiento.
El Reglamento europeo no va a suponer la derogación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), sino una modificación de la misma sobre la que ya se está trabajando, con consulta pública para que cada uno pueda aportar nuevas ideas desde su experiencia.
El responsable sancionado podrá acogerse a una reducción de la sanción de hasta el 40% de la misma si presta una especie de conformidad con ella.
En el debate de la “mesa redonda” integrada por varios DPO de grandes empresas se dieron los siguientes puntos de vista:
Necesidad de concienciar en aplicar la protección de datos desde el diseño y por defecto.
El responsable del tratamiento se va tener que preocuparse de una forma más práctica de que los encargados del tratamiento con los que haya celebrado contratos de prestación de servicios cumplen con la normativa. El responsable tiene que auditar y formar a sus encargados del tratamiento, no valiendo ya el fiarse con que está cumpliendo lo pactado, sino que lo va a tener que verificar en la práctica. Ello va a suponer que los encargados del tratamiento van a tener que ser empresas certificadas en protección de datos.
Uno de los mayores problemas va a ser cumplir con los principios de información y consentimiento, pues las cláusulas utilizadas anteriormente ya no van a valer, y se le va a tener que preguntar de nuevo al afectado si consiente el tratamiento de sus datos personales conforme a la nueva información legal.
Otro cambio importante es que cumplir con los tradicionales niveles de seguridad de los datos (básico, medio y alto) ya no va a servir, siendo necesario en muchos casos realizar evaluaciones de riesgos e impacto. El responsable va a tener que demostrar que ha puesto todos los medios necesarios para eliminar los riesgos.
El plazo de 72 horas habilitado para comunicar que ha existido una violación de los datos personales (Data Breach Notification) no es realista, pues en muchas ocasiones no se conoce desde cuándo se ha tenido una brecha de seguridad. Además, no existe una cultura de reconocer nuestros propios errores.
Por todo ello, harían bien las empresas en contratar un Delegado de Protección de Datos que les ayude a implementar todos los principios, normas y protocolos de seguridad que se contienen en el nuevo Reglamento antes de mayo de 2018. ¡El tiempo es oro! y más vale prevenir que curar. Más información en http://www.abogadorojaspozo.com/lopd-lssi/mantenimiento/
