Cinco pasos para adaptarse al Reglamento de Protección de Datos.
La aplicación obligatoria del Reglamento de Protección de Datos, que se produjo el 25 de mayo de 2018, supuso una revolución dentro de las empresas. A la incertidumbre inicial le sucedieron ciertas dudas de procedimiento para adaptarse a la nueva normativa y evitar las posibles sanciones por incumplimiento de los organismos reguladores, que pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación de la compañía.
A pesar de que las agencias ya han comenzado a inspeccionar algunas empresas, e incluso a sancionarlas, todavía las compañías pueden tomar medidas para adaptarse a la normativa, que pretende reforzar los derechos de los usuarios en materia de privacidad.
Adaptarse a la normativa de protección de datos: cinco pasos esenciales.
De lo dicho anteriormente se deduce que el nuevo Reglamento fortalece las exigencias de privacidad y protección, lo que requiere medidas complementarias, algunas de ellas completamente novedosas, a fin de cumplir los parámetros impuestos por la legislación:
- Nombrar un delegado de protección de datos: Se trata de una figura de reciente creación cuyo objetivo es controlar que el uso de datos sea conforme a la normativa, así como servir de intermediario con los organismos de control. No obstante, este delegado solo será necesario cuando el tratamiento sea por parte de un organismo o autoridad pública, cuando se requiera un seguimiento continuado de datos personales o cuando el tratamiento sea gran escala y sobre cuestiones de especial sensibilidad para las personas.
- Análisis previo del impacto: Siempre es recomendable analizar a priori las posibles consecuencias y riesgos que puede suponer el tratamiento de datos personales en la empresa, sobre todo si por la naturaleza de estos se puede poner en peligro los derechos de las personas.
- Formación en protección de datos: Si las empresas son entidades formadas por muchas personas, que desempeñan diferentes cargos, se corre el riesgo de que no todos estén al tanto del correcto uso de los datos personales. Para ello, es esencial una cierta labor pedagógica sobre la responsabilidad de los empleados en el tratamiento de datos, las distintas consecuencias que puede suponer un uso incorrecto de los mismos o los mecanismos con los que cuenta la empresa para llevar a cabo este tratamiento.
- Elaborar un registro de actividades: Es muy importante conocer en qué cuestiones, y sobre qué fundamentos o legitimidad, se están tratando datos de carácter personal. Para ello conviene hacer una relación de actividades y los fines del tratamiento que, en su caso, se esté realizando.
- Controlar el cumplimiento: Resulta necesario establecer los mecanismos de control y de análisis pertinentes para identificar posibles brechas de seguridad. Los resultados de este análisis permitirán abordar diferentes acciones para corregir deficiencias e ir adaptando, de forma progresiva, el tratamiento a las exigencias normativas.
Medidas complementarias sobre protección de datos.
Además de los puntos esenciales que deben vertebrar cualquier uso de datos personales en la empresa, existen otras medidas complementarias que también pueden ayudar a la empresa a adaptarse al Reglamento. Entre ellas, es preciso disponer de las tecnologías de gestión que permitan tratar datos de forma eficaz por parte de sus responsables, realizar una adaptación de los procedimientos de la empresa que sean acordes a una eficiente protección y elaborar una política de privacidad conforme a las bases exigidas por el Reglamento.
Juan José Cortés
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados