Enrique Jiménez, Regional General Counsel de CPP Group Spain.
Llevamos meses leyendo y escuchando hablar sobre el nuevo reglamento de protección de datos de la Unión Europea -RGPD UE 2016/976-, que junto a la normativa española que lo desarrolla reemplazará a partir del próximo viernes 25 de mayo a la actual Ley Orgánica 15/1999 del 13 de diciembre, de Protección de Datos de Carácter Personal. El fin no es otro que armonizar las leyes de privacidad de datos de cada país de la Unión Europea, además de proteger y habilitar la confidencialidad de todos sus ciudadanos y remodelar la forma en la que las empresas tratan la privacidad de los datos personales. Según esta directiva, se considera “Dato Personal” a cualquier información relacionada con una persona física que puede usarse para identificarla directa o indirectamente. Por tanto, podemos hablar desde un nombre, una foto o una dirección de correo electrónico hasta datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador.
Esta nueva directiva se centra no solo en el uso que se hace de los datos, sino que hace especial hincapié en la retención de los mismos, abocándonos a realizarnos la pregunta ¿por qué almacenar un dato personal si no se necesita para los fines establecidos? La respuesta que nos da el nuevo RGPD es bien clara: si un fichero que contiene datos personales no se necesita para el trabajo diario no se puede mantener almacenado, ni siquiera en una unidad de red encriptada o bajo llave. Simplemente no se debe mantener y, por tanto, hay que eliminarlo.
La nueva normativa europea de protección de datos, junto a la normativa local española que cubra algunos aspectos más concretos, suponen un nuevo mundo no sólo en cuanto a la protección de datos, sino a la relación con nuestros clientes en sí misma. Para todas las empresas enfrentarse con éxito al RGPD es todo un reto, sobre todo si tenemos en cuenta que su impacto es transversal. Esto es que, aunque debe ser liderada por los departamentos técnicos con conocimientos de esta normativa, se requiere una plena implicación por parte de toda la organización, básicamente porque afecta a toda la compañía. Por tanto, debemos ver la nueva ley como un proyecto interno global en el que es necesaria la ayuda y continua interacción entre el nuevo data protection officer con los departamentos de TI, Recursos Humanos, Atención al Cliente o Marketing, entre otros. En este caso, la unión también hace la fuerza si se hace un buen trabajo en equipo.
Dosis extra de paciencia para un viaje difícil
El DPO da para mucho debate y tendrá que pasar tiempo para que, por una parte, la Agencia Española de Protección de Datos defina qué implica su figura en los diferentes ámbitos de actuación y sectores para un futuro próximo; y, por otra, para que el RGPD esté ampliamente implantado. La figura del DPO se trata de un nuevo perfil con una gran responsabilidad ya que de su correcta gestión depende una adecuada implementación de la nueva normativa y, aún más importante, de su capacidad para velar por el mantenimiento y cumplimiento de los estándares procedimentales adecuados y que se haga una correcta valoración del riesgo desde el punto de vista de protección de datos. Debe tener un perfil eminentemente técnico relacionado con la normativa, pero a la vez es esencial su conocimiento en temas tecnológicos y de gestión y relación con otros departamentos. Además, debe ser una persona muy asertiva y con elevada capacidad de transmitir los conceptos técnicos más complejos a otras personas que no los dominen. Hacer fácil lo difícil. Y, sin es posible, le añadiría una dosis extra de paciencia ya que el viaje no va a ser fácil.
El venidero concepto de protección de datos nos obliga a realizar una evaluación desde la fase inicial de desarrollo de cualquier proyecto en dos niveles. En un nivel técnico porque cualquier nuevo sistema, procedimiento, producto, campaña… debe ser evaluado desde el origen para ver su impacto. Y en un nivel organizativo porque esta evaluación ha de realizarla conjuntamente todas las áreas implicadas, con el fin de determinar si es necesario establecer o no medidas adicionales que garanticen la seguridad de los datos, adecuándolas en función del riesgo para los derechos y libertades de los interesados. Debemos recordar que no estamos hablando de impactos determinados en algunos departamentos, sino que todos ellos han de ser conocedores y es imprescindible participar en la implementación de la nueva normativa; bien por tener una implicación directa en la gestión de datos, bien por tener dependencias o aportar su visión específica sobre las posibles consecuencias de las acciones a implementar.
Pongamos un ejemplo. Lo que puede aportar un especialista en TI y en el manejo de grandes cantidades de datos e información o un abogado en relación a la nueva normativa es diferente, pero sus conocimientos y actuaciones serán siempre complementarios. Por tanto, son dos departamentos dispuestos a entenderse, más cuando se trata de un cambio con muchas aristas que los no especialistas en sistemas tienen más dificultades en comprender en toda su magnitud. Son cambios que, a simple vista, parecen sencillos pero conllevan mucho trabajo de fondo y siempre hay que hacer una valoración de impactos para determinar a priori las posibles interacciones. La parte buena es que la mayoría de los derechos de los titulares de los datos no son nuevos y, los que sí lo son, algunos tienen similitudes importantes con los actuales; es decir, sólo deberían ser desarrollos de procedimientos actuales. En todo caso, una de las responsabilidades del departamento jurídico en este caso es velar por el cumplimiento de los plazos y formas requeridas para que la experiencia del cliente sea la mejor posible en un momento de cambios ante la llegada de la nueva normativa. Además, no debe perderse de vista el impacto en caso de incumplimiento, ya que además del daño reputacional, las entidades están sujetas a multa en caso de no cumplirla, que será la cantidad mayor que se derive de estas dos opciones: multa de hasta el 4% de la facturación global anual o multa de hasta 20 millones de euros.
Todos estos cambios tienen impacto en condicionados generales, contratos con proveedores, con socios de negocio, con partners etc. Lo que añade una serie de dependencias que hay que tener muy en cuenta para llegar a tiempo en la implementación. El RGPD no es tarea de días o semanas. Quien lo vea así, sin duda va a contrarreloj para afrontar con garantías el cumplimiento del nuevo reglamento.