Despachos

Operaciones

Colegios

Justicia

Entrevistas

Comunidad Legal

Reportajes

Colaboraciones

Internacional

LP emprende

Abogados Jóvenes

Mediación

Arbitraje

TIC

BLOGS

Agenda


 
 
 
27 de ENERO de 2016

Jesús Mateo, Socio director de MMYA Abogados:

“El nuevo Reglamento de Protección de Datos afecta a todas las empresas”

LAWYERPRESS / Carlos Capa

 

Jesus Mateo, Socio director de MMYA Abogados

Jesús Mateo, socio director de MMYA Abogados, un despacho jurídico fundado en 1997, especializado en asesoramiento de empresas y entidades con una clara vocación internacional, analiza con motivo del Día Internacional de Protección de Datos, que se celebra mañana, 28 de Enero, las obligaciones de las empresas en esa materia.

En MMYA Abogados contáis con un área muy especializada en Privacidad y Protección de Datos. ¿Cómo podemos identificar que cumplimos?

Actualmente hay que contar con una documentación y requisitos básicos, de forma obligatoria por normativa legal, para poder acreditar que tenemos convenientemente implantada una política de privacidad, bien para responder ante cualquier inspección o requerimiento de la Autoridad nacional de Control (En España la Agencia Española de Protección de Datos), o como medida de respuesta eficaz ante el ejercicio de sus derechos por parte de cualquier afectado (Derechos ARCO). Esta documentación básica es la inscripción de Ficheros ante la Agencia Española de Protección de Datos, Avisos legales con el principio de información para todos los grupos de afectados (Como mínimo para clientes y para nuestros empleados), Contratos de tratamiento por cuenta de terceros con aquellas otras empresas o profesionales con los que compartamos datos personales de clientes (Subcontratación de servicios) o de empleados (Gestoría que realiza las nóminas, y trámites ante la Seguridad Social), Documento de seguridad del nivel de protección que nos corresponda; y en función de las instalaciones (Video vigilancia, control de accesos), del sector de actividad a que corresponda la empresa (Telecomunicaciones, Seguridad, Servicios financieros, Servicios de Sanidad, Fondos de inversión, Aseguradoras, etc), existirán requisitos adicionales en atención a su normativa específica en materia de protección de datos, así como la obligación de pasar auditorias bianuales y contar con un Responsable de seguridad cuando se tratan datos de nivel medio o alto (Datos que suelen manejarse en despachos de abogados, servicios financieros, servicios médicos, servicios de estudios de mercado por perfiles de consumo, etc). Chequear que contamos con esta documentación y requisitos puede ser un paso inicial importante para saber si contamos con una base mínima de cumplimiento de protección de datos.

No obstante, toda la regulación legal de protección de datos se va a ver considerablemente modificada y me atrevería incluso a señalar que sacudida, por el nuevo Reglamento General europeo de Protección de Datos (RGPD), al tener que adaptarse organismos tanto públicos como privados a los nuevos requerimientos y obligaciones que trae consigo.

¿Cómo afecta ese nuevo Reglamento europeo General de Protección de Datos (RGPD), en concreto a las empresas?

El nuevo Reglamento afecta a todas las empresas que recaben datos de carácter personal y hoy en día ¿Qué empresa no tiene una base de datos de clientes, de empleados?, obviamente afecta a todas las empresas. Bien es cierto que aquellas empresas que tratan datos sensibles (salud, origen racial, religión, vida sexual, etc.) se van a ver especialmente afectadas, por ejemplo por requisitos que conciernen al consentimiento de los afectados, que deberá ser claramente inequívoco y  por tanto, explícito, entre otras muchas novedades. Lo que es más, es aplicable a empresas que aun sin estar establecidas en el territorio de la UE, dirigen sus bienes o servicios a los usuarios europeos, con independencia de dónde se produzca el pago. Como se puede apreciar, la relevancia de este Reglamento es total, sustituye a la Directiva 95/46/CE y es de aplicación directa en todos los Estados miembros. Desde este punto de partida, es claro que la importancia para cualquier empresa es vital porque a través de la  regulación de la protección de datos, se está protegiendo a los afectados en general y a los consumidores en particular.

¿De qué novedades  del nuevo Reglamento hablamos?

Para señalar de forma muy esquemática estas novedades podríamos enunciar entre las más relevantes, las siguientes:

- El ámbito de aplicación del Reglamento, es de forma directa en todos los Estados miembros de UE, sin que tenga que mediar normativa de transposición del mismo a las normativas internas de cada Estado miembro. Se trata de una única norma de protección de datos para todos los países de la UE.

- Las medidas a adoptar e implementar tienen como base el riesgo que conlleve el tratamiento de los datos personales para el afectado; y en este sentido habrá que designar un "Delegado de Protección de Datos" (DPO), realizar una "Evaluación de impacto de la protección de datos" (DPIA) o incluso llevar a cabo una consulta previa al tratamiento de los datos personales con la autoridad nacional de protección de datos (En España la Agencia Española de Protección de Datos), si existe un alto riesgo para la persona a la que se refieren los datos en ausencia de la adopción de medidas por el responsable, para mitigarlo.

- Nuevos principios de la protección de datos como son los de transparencia, responsabilidad, protección de datos desde el diseño y por defecto. En lo fundamental, implican que quien trata datos personales lo haga considerado esta normativa desde el comienzo, ya sea, el desarrollo de una aplicación, un sistema de información, un servicio, etc., de manera que, adoptando las medidas adecuadas al riesgo que implica el tratamiento de los datos, pueda demostrarse responsabilidad en el cumplimiento, incluyendo, en su caso, la elección de encargados del tratamiento (Terceros que tratan los datos personales por cuenta del responsable) que aporten garantías suficientes. En este sentido, Códigos de conducta y certificaciones pueden ser un buen aliado para demostrar el cumplimiento.

- Derechos al olvido, a la portabilidad y a saber cuándo se ha producido una fuga de datos personales. El derecho al olvido implica el borrado de los datos personales de su titular, por ejemplo las fotos descargadas en una red social. Las compañías de Internet están obligadas a transmitir esta petición a los sitios donde la información se haya replicado o enlazado. No obstante, el derecho al olvido estará limitado por el ejercicio de la libertad de expresión e información, no es un derecho absoluto, tiene límites; el derecho a la portabilidad de los datos personales, por ejemplo, entre redes sociales u otros servicios electrónicos (Servicios de Cloud Computing), de manera que la persona se pueda llevar sus datos personales, así como el derecho a saber cuándo han sido “hackeados” o se ha producido una brecha de seguridad que implique una fuga de datos personales, sin perjuicio de que el responsable del tratamiento tenga que notificar dicha fuga a la autoridad nacional de supervisión, hasta ahora esa obligación en España existía solo para empresas del sector de las Telecomunicaciones.

- Datos sensibles, pasando a engrosar la lista de los ya conocidos (Salud, origen racial, de carácter sexual, creencias religiosas etc.), otros nuevos como los datos genéticos y datos biométricos.

- Consentimiento para el tratamiento de los datos personales, que con carácter general pasará de ser "expreso" a ser "claramente inequívoco", debiendo ser "explícito" en el caso de datos sensibles (salud, origen racial, religión, vida sexual, etc.). El responsable tendrá que ser capaz de demostrar que obtuvo el consentimiento necesario del titular de los datos personales y, por otra parte, que el titular no tenga que hacer nada para obtener su consentimiento no es válido para cumplir con el requisito de que sea “claramente inequívoco”. Habrá que establecer mecanismos adecuados que permitan al titular de los datos personales revocar el consentimiento dado. El sentido práctico de esto es que empresas como Facebook o Twitter sólo podrán procesar información personal si tienen el “consentimiento inequívoco” de los usuarios, que podrá ser retirado en cualquier momento. También se restringe el acceso a las redes sociales a los menores de un umbral de edad entre los 13 a los 16 años (A determinar por cada Estado miembro), que necesitarán la autorización de sus padres para que sus datos sean procesados.

- En la transferencia internacional de datos, se abren nuevas posibilidades de transferir datos personales a terceros países, fuera de la UE o del Espacio Económico Europeo (EEE) en atención, por ejemplo, a un sector de actividad, como pudiera ser el de Cloud Computing.

- Medidas como la Pseudonimización y anonimización de los datos personales, se ven afectadas de muy distinta forma. Mientras la pseudonimización no escapa a las disposiciones del Reglamento que seguirán siendo aplicables ya que es posible identificar a la persona a la que se refieren los datos personales, en el caso de la anonimización, siempre que sea irreversible, ya no estamos ante datos personales y, por tanto, las disposiciones del Reglamento dejan de ser aplicables.

- Una reducción significativa de burocracia para las empresas, por la que las empresas se ahorrarán hasta 2.300 millones de euros al año por aplicar una única norma de protección de datos en toda la UE en lugar de las 28 actuales, según los cálculos de Bruselas. Además, se establece un sistema de ‘ventanilla única’ tanto para las empresas como para los consumidores, que tendrán como interlocutora a una sola autoridad de control.

Entre las novedades del nuevo Reglamento ha mencionado usted una figura que últimamente ha despertado mucho interés por el desconocimiento general sobre qué perfil tiene, que funciones desempeña y en qué tipo de organizaciones es obligatorio. Me refiero al "Delegado de Protección de Datos" (DPO) ¿Qué puede explicarnos al respecto?

En primer lugar hay que señalar que tendrán que ser Profesionales que puedan acreditar formación  y conocimientos especializados en materia de protección de datos. Por tanto, Delegado de Protección de Datos no lo puede ser cualquiera, lo que se ha acogido con gran satisfacción por parte de los profesionales de la protección de datos que han dedicado tiempo, esfuerzo e inversión en especializarse en esta materia.  En cuanto a las funciones, serán básicamente, asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho a la protección de datos y la seguridad de la información; además será el interlocutor necesario con la Autoridad de Control de la Protección de Datos. Su implantación será obligatoria (Bien a través de contratación externa o su designación dentro de la plantilla de la organización) para todas las organizaciones públicas (a excepción de los tribunales en ejercicio de la potestad jurisdiccional), empresas que desarrollen "profilling" (Registro y análisis de las características psicológicas y de comportamiento de una persona, a fin de evaluar o predecir sus capacidades en un determinado ámbito o para ayudar en la identificación de las categorías de personas) y que requieran una monitorización periódica y sistemática de los titulares de los datos a gran escala (Ej: solvencia patrimonial, investigación de mercados o en controles asociados a la productividad o en el análisis de riesgos), empresas cuya actividad principal consistan en el tratamiento a gran escala de categorías especiales de datos (Ej: Datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual, y datos relativos a condenas y antecedentes penales) y cuando lo disponga el Derecho de la Unión o el del Estado miembro.

Es una figura que introduce el nuevo Reglamento y que dará mucho que hablar por ser una figura esencial en la protección de datos y porque las empresas y organismos obligados a contar con uno deberán asesorarse muy bien antes de contratar sus servicios, o de nombrarlo entre el personal interno de la empresa, debido a la necesidad de acreditar su habilitación para desempeñar estas funciones. En MMYA ABOGADOS apostamos por esta figura y contamos en el despacho con una profesional cualificada oficialmente para desempeñar esta labor para empresas que opten por contratar los servicios de un Delegado de Protección de Datos externo.

¿Qué tipo de sanciones se establecen en caso de no cumplir con los requisitos del nuevo Reglamento?

El incumplimiento puede conllevar multas de hasta 20 millones de euros o, en el caso de las empresas, hasta el 4% de la facturación total a nivel mundial del año financiero previo, siendo aplicable la suma que sea mayor. Este tipo de multas puede conllevar para muchas empresas una dura brecha económica que se puede evitar tomando las medidas legales y técnicas oportunas, con el tiempo suficiente y con carácter preventivo. No hay que dormirse esperando que el Reglamento entre en vigor en 2.018, cuanto antes nos pongamos en marcha mejor, ya que eso nos permitirá definir bien y con carácter previo, el diseño de nuestra política de privacidad e ir realizando las modificaciones y adaptaciones necesarias de tal forma que cuando entre en vigor el Reglamento tengamos una implantación acorde a las exigencias de esta normativa. Quien espere a ponerse manos a la obra cuando ya irremediablemente caiga el peso de la normativa cual Espada de Damocles, créame, dada la complejidad de esta normativa, pasará apuros para cumplir en tiempo y forma. Prevenir mejor que curar.

¿Está todo formateado en protección de Datos o se pueden aplicar soluciones adaptadas a las necesidades reales de los clientes?

Sé que la respuesta que le voy a dar puede descolocar a sus lectores, pero honestamente debo advertir que hay que huir de quien "vende" protecciones de datos estandarizadas y por tanto a muy bajo coste. Demasiadas empresas, desde su completo desconocimiento de esta materia, contratan a proveedores sin solicitarles la más mínima acreditación de que saben lo que se traen entre manos, siendo el único criterio de selección unos costes muy bajos, en algunos casos incluso sospechosamente bajos. No es serio y por tanto puede llevar consecuencias a las empresas que confían su política de privacidad a este tipo de empresas, teniendo que asumir sanciones que les pillan de sorpresa porque pensaron que ya habían cumplido con la protección de datos. No vamos a explayarnos ya en el gancho comercial de repercutir los costes de protección de datos a las contingencias de formación de la Seguridad Social, la propia Fundación Tripartita de la Seguridad Social advierte sobre estas técnicas irregulares.

Por consiguiente, una implantación seria de protección de datos debe responder a la actividad que desarrolla la empresa y dentro de ella al tratamiento de datos personales de clientes y/o empleados, necesario para atender a sus necesidades concretas en respuesta a estrategias comerciales o de gestión interna (Perfiles de consumo de clientes, controles y gestión de la productividad del personal, etc..). Nuestro consejo, hacer un buen traje a la medida de sus necesidades, lo que no implica un coste difícil de asumir por la empresa y puede ser una inversión en la fidelización de clientes y en la optimización de la productividad. El comportamiento del consumidor ha evolucionado y considera preocupante que sus datos puedan no estar seguros, es necesario que se considere internamente como un requisito para atraer al cliente, una inversión en lugar de un coste.

¿Qué consejos podéis ofrecernos para proteger nuestros datos?

Lo primero es identificar bien las necesidades de tratar datos personales arreglo a su estrategia de Mercado o a las diversas necesidades que tiene la organización. Una vez la empresa toma verdadera conciencia de qué necesita, acudir a profesionales de la Privacidad convenientemente acreditados y una vez expuestas sus necesidades, dejarse asesorar y que le sea implantada la documentación y requisitos que señalaba en respuesta a tu primera pregunta. Es fundamental que la empresa respete los protocolos que se facilitan para que la implantación de protección de datos sea efectiva y de utilidad. El profesional por el que se opte puede realizar una documentación e implantar unas medidas de seguridad impolutas, pero si no existe una concienciación de la empresa con la utilidad de proteger los datos, lamentablemente, perderá su efectividad. La protección de datos es un barco en el que deben remar en coordinación y en la misma dirección, el abogado especialista, el técnico informático y la empresa como responsable final ante la Autoridad de Control y lo que es más importante, antes sus clientes.

Por último, recomendaría a la empresa como consumidor de servicios de protección de datos, que exija por contrato la acreditación y la responsabilidad del trabajo realizado, por parte del profesional que realice la implantación de su política de privacidad. Que no le den gato por liebre.

 

 

 
 
 

 

 

 
 
 
 
 
 
Nosotros  /  Nuestro Equipo  / Contacto 

copyright, 2016 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain - 
Tel.: + 34 91 858 75 55
info@lawyerpress.com  -  www.lawyerpress.com - Aviso legal