El pasado 5 de diciembre de 2018, la CÁMARA DE COMERCIO DE BARCELONA y la firma de abogados y economistas RAICH LÓPEZ DÍEZ celebraron una conferencia sobre ¿CÓMO CUMPLIR CON EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?, presentada por el socio responsable del área mercantil Abel López Royo e impartida por el abogado y profesor en materia de propiedad intelectual y privacidad, David Muñoz de los Reyes.
El nuevo Reglamento constituye la mejor respuesta ante la nueva Sociedad de la Información en la que nos encontramos inmersos, en la que el principal valor es la INFORMACIÓN y ante la ciudadanía más informada, más concienciada y más empoderada, la ciudadanía europea.
Para el pleno cumplimiento del RGPD se propuso a las entidades y compañías un Plan en 12 pasos:
1. INFORMAR, de forma clara y precisa a las personas cuyos datos se pretenden tratar de ¿quién es el Responsable del Tratamiento?, ¿a quién le cederemos los datos?, ¿qué datos?, ¿para qué finalidades? Debiendo adaptar el mensaje a quien lo recibe.
2. OBTENER EL CONSENTIMIENTO inequívoco y expreso de las personas y para cada finalidad que se pretendan tratar y/o ceder.
3. EJERCICIO DE DERECHOS, no solo de los ya conocidos DERECHOS ARCO (Acceso, Rectificación, Cancelación u Oposición); sino de los nuevos derechos de limitación, derecho de portabilidad y derecho al olvido.
4. OBLIGACIONES DE LOS TRABAJADORES, deben ser informados de ¿cómo tienen que tratar la información de la compañía responsable?, ¿cómo utilizar correctamente las herramientas de trabajo?, ¿cómo son los dispositivos informáticos que se ponen a su disposición?, ¿cómo usar los software, redes informáticas y bases de datos?, ¿cómo gestionar las incidencias?, obtener su compromiso de confidencialidad y hacerles saber que se realizará un control empresarial y las sanciones en caso de incumplimiento.
5. CONTRATOS CON ENCARGADOS DE TRATAMIENTO, deben ser adaptados al nuevo RGPD debiendo regularse expresamente ¿a qué datos van a tener acceso?, ¿con qué finalidades? y las medidas de seguridad que deben aplicar. El Responsable debe velar por un correcto cumplimiento y contratar sólo con encargados que ofrezcan las garantías suficientes.
6. DELEGADO PROTECCIÓN DE DATOS, un nuevo agente en esta área que nos ayudará a cumplir y convertir en valor nuestra protección de la privacidad, asesorándonos, haciendo de puente entre los usuarios y autoridades de control y las entidades y realizando las evaluaciones de impacto cuando se tengan que hacer. Deberán ser profesionales altamente cualificados a nivel técnico y jurídico, pudiendo las entidades tener las garantías de contratar a los profesionales adecuados a través de los certificados que entidades certificadoras.
7. REGISTRO TRATAMIENTO, al igual que se inscribían ante la Agencia Española de Protección de Datos con la anterior normativa española los Ficheros, se deberá llevar un registro, esta vez interno, de los tratamientos de datos personales.
8. EVALUACIONES DE IMPACTO sobre la privacidad que se deberán de hacer de aquellas aplicaciones y tratamientos de forma masiva y/o continuada de datos personales sensibles. En esta especie de auditorías se estudiarán el contexto en el que se realizará el tratamiento, se evaluarán los riesgos que podrían concurrir y se graduarán la gravedad y la probabilidad de que ocurran. Se darán finalmente las recomendaciones que mitiguen y/o eliminen dichos riesgos.
9. CERTIFICADOS / CÓDIGOS DE CONDUCTA / BCR (Binding Compliance Rules), el RGPD fomenta estas útiles herramientas que servirán a las entidades cumplidoras a comunicar su buen hacer a los usuarios; ya que la privacidad vende cada vez más ante ciudadanos europeos cada vez más informados y empoderados. Se trata de Códigos de Autorregulación o Certificados como la ISO 27001 que garantizan un alto cumplimiento de la protección de la privacidad.
10. MEDIDAS DE SEGURIDAD que deberán asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales que tratamos, tales como: establecer protocolos de identificación y autenticación, contraseñas, archivo de información, registro y control de accesos, limitar el acceso a los datos personales a los estrictamente necesarios, durante el mínimo tiempo y sólo a aquellas personas que necesiten tratarlos; establecer políticas de destrucción y anonimización de los datos personales una vez finalizada su función; protocolos de copias de seguridad y protocolos que eviten brechas de seguridad y ciberataques; así que la información viaje y/o se almacene por medios encriptados.
11. TRANSFERENCIAS INTERNACIONALES, en caso de que se comuniquen datos fuera de la Unión Europea y/o a algún país que no se reconozca un nivel de protección óptimo, se deberá cumplir con las medidas establecidas y obtener las autorizaciones correspondientes de las autoridades de control.
12. FORMACIÓN continua, ya que la tecnología y el mundo están en constante cambio, debiéndonos adaptar para poder así ofrecer nuestro mejor hacer al máximo número de personas.
Tenemos el plan a cumplir y la fecha. Ahora, podemos seguir durmiendo hasta que nos suene el despertador el próximo 25 de mayo; o bien, poner todo nuestro empeño en ello y transformar la obligación legal de proteger los datos personales en uno de nuestros principales valores empresariales y cuidado de nuestros datos.
¡Muchas gracias!