Adaptarse al RGPD: una cuestión de principios

Publicado el domingo, 27 mayo 2018

Joana Marí Cardona, Experta en protección de datos, Asociada a ENATIC.

La adaptación a la nueva regulación en materia de protección de datos, el Reglamento (UE) 2016/6 general de protección, genera enorme inquietud en el conjunto de entidades, ya que introduce importantes cambios que modifican de afrontar el cumplimiento de esta norma.

En este breve artículo no hablaré de las principales novedades y obligaciones que introduce el RGPD, sino que trataré de plantear una visión “abstracta” que nos permita realizar un diseño integrado para la adaptación a esta norma.

Joana Marí Cardona ENATIC

Joana Marí Cardona, Experta en protección de datos, Asociada a ENATIC

En todo caso, hemos de tener presente que el RGPD nace en un contexto de globalización y de innovación económica y social basada en los datos. Por tanto, los datos y, principalmente, los datos personales, se hacen omnipresentes en el conjunto de actividades que las entidades públicas y privadas desarrollan.

Esto supone que partir de un planteamiento meramente formal de cumplimiento, de obligaciones estancas, nos va a llevar al fracaso. Ahora todo está conectado e interrelacionado.

El RGPD es como un gran puzle en 3D que incorpora instrucciones para conseguir construir la garantía del conjunto de derechos y libertades de las personas, engarzado con la no limitación del libre flujo de información dentro de la Unión Europea. Este puzle además, tiene una base, a veces poco estable, que es la globalización de la economía, la sociedad y la política que se desarrollan a partir de la información tratada de forma masiva.

Esta visión del RGPD permite lograr un cumplimiento dinámico y sostenido de la norma mediante la incorporación en nuestras organizaciones de una determinada actitud. No será suficiente con cumplir obligaciones de forma aislada, debemos tener un planteamiento de cumplimiento integrado en el funcionamiento ordinario de la entidad para no perder piezas del puzle por el camino que nos impediría dar solidez al conjunto.

En este sentido, creo que al pensar en cómo adaptar nuestra entidad al RGPD tenemos que partir de tres ejes (principios) y de una visión centrada en la persona y en sus derechos y libertades.

Debemos recupera la idea que los datos personales pertenecen a su titular y que tiene derecho a decidir sobre ellos (obviamente con los límites que marca la ley). Así, los tres principios que han de construir nuestra actitud corporativa respecto del tratamiento de los datos personales son: la transparencia, la responsabilidad proactiva y demostrable y el enfoque de riesgo.

A partir de aquí iremos construyendo nuestra Política de protección de datos a partir de las piezas que nos da el RGPD:

  • Identificar y analizar todos los procesos que involucran tratamiento de datos personales y “mantenerlos controlados”.
  • Una vez identificados, construir, de forma simultanea el resto, partiendo de los tres principios enunciados:
    • Diseñar los circuitos pensando en los puntos de impacto en los principios de protección de datos, en las obligaciones del RGPD y los riesgos que puedan generarse.
    • Crear y gestionar el Registro de actividades de tratamiento.
    • Determinar si estamos obligados a realizar una evaluación de impacto y, en caso afirmativo, realizarla.
    • Transparentar los tratamientos e informar a las personas en todas las fases (tener la información clave disponible y fácilmente accesible en nuestra página web, )
    • Identificar de forma clara, y acorde a la realidad, una base jurídica que me legitime para tratar los datos (desde su recogida hasta su comunicación)
    • Analizar los riesgos de seguridad e implantar las medidas que correspondan.
    • Tener mecanismos para detectar de forma inmediata fugas de información y gestionarlas.
    • ….

Es decir cumplir con el conjunto de obligaciones establecidas en el RGPD, garantizando los derechos y libertades de las personas.

Y este planteamiento abstracto ¿en qué se concreta? Voy a poner un ejemplo, vinculado a la tansparencia y el derecho de información.

En este momento en que las organizaciones están inmersas en la adaptación al RGPD, una de las acciones en la que están centrando sus esfuerzos es en cumplir con el principio de transparencia y el derecho de información. Y la manera de plantearlo suele pasar por ver como se estaba informando en actualmente y añadir los extremos que faltan de acuerdo con los arts. 13 y 14 RGPD, según corresponda.

Sin embargo, este planteamiento de “chequear” los ítems sobre los que informar, por sí solo, nos puede llevar al fracaso desde la perspectiva del propio principio de transparencia y del principio de la accountability.

El RGPD al regular la tranparencia exige no sólo que informemos sobre determinados puntos relativos a cómo se tratan los datos. Debemos pensar cuál es el fin último del Reglamento, que no es otro que proteger a las personas y, en concreto, dotarlas de herramientas que les permitan controlar sus datos. Esto sólo se puede logran si saben como se tratan sus datos, pero sobre todo si entienden el alcance de este tratamiento y las consecuencias que puede tener sobre ellas. Así, cumplir con los tres ejes: transparencia, responsabilidad y enfoque en el riesgo al elaborar las cláusulas informativas nos exige ir más allá de la mera comprobación del contenido de la cláusula, debemos, también, diseñar el mensaje atendiendo a la “audiencia” a la que va dirigido, al contexto de la recogida y, por descontado el sistema de recogida de esta información (formulario, teléfono, app,…). Y, no olvidar, una vez diseñado testear que el objetivo que buscamos ha sido logrado.

Aplicar esta visión enfocada al resultado nos ayudará a valorar si efectivamente estamos cumpliendo correctamente con lo que exige el RGPD.

Sobre el autor
Redacción

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

Comenta el articulo