Uno de los elementos que marca este 2018 será la entrada en vigor el próximo 25 de mayo en nuestro país del Reglamento Europeo de Protección de Datos, (RGPD) en su día una norma que generó miles de enmiendas en su tramitación. La norma de obligado cumplimiento desde su entrada en vigor supone un cambio radical en la concepción del modelo de privacidad de las empresas e instituciones.
Le hemos pedido a Paz Martín, abogada, experta en privacidad y derecho tecnológico, socia directora de Legalthings, que nos aclare el porqué de la importancia de esta norma y cómo deben adaptarse las empresas a este texto normativo. Nadie mejor que esta jurista para entender las repercusiones de esta norma.
¿Por qué es tan importante este Reglamento Europeo de Protección de Datos?
El RGPD supone un cambio de paradigma en la protección de la privacidad, unas exigencias adaptadas a los tiempos y a las tecnologías actuales en las que el uso de los datos supone un importante reto pero también una importantísima fuente de ingresos para las empresas. Los ciudadanos estamos más expuestos que nunca a las intromisiones en la privacidad y por ello necesitamos más herramientas legislativas para protegernos.
¿Qué es lo más complejo a la hora de adaptarse a su nueva normativa?
En mi opinión el cambio supone sobre todo, un cambio de mentalidad, lo cual a menudo es lo más difícil de cambiar. Se huye de los cumplimientos formales para acuñar un nuevo principio muy utilizado en el mundo anglosajón: el de “accountability” o como lo estamos traduciendo: “responsabilidad proactiva”.
Esto va a ser especialmente difícil de asumir en aquellas organizaciones en las que se cumple por “salir del paso” y no se hace una reflexión real del alcance que tiene cada tratamiento de datos.
Por poner un ejemplo, desaparece una de las obligaciones que hasta ahora muchas empresas creían que era el centro del cumplimiento de la protección de datos: la obligación de inscribir ficheros ante la Agencia Española de Protección de Datos.
Una obligación formal que al desaparecer pone de manifiesto que lo importante es lo que se hace con los datos y cómo se hace. Esto está resultando “chocante” para muchos, especialmente pequeñas empresas.
Da la sensación que las empresas tendrán más trabajo con ese consentimiento expreso que ahora les demandan…
Desde luego este es uno de los puntos que más dolores de cabeza está generando en las empresas porque, si los datos que tienen en sus bases de datos no cumplen con las exigencias del nuevo Reglamento, no servirán. Esto es especialmente relevante en esos casos en los que se ha abusado del “consentimiento por defecto” (si no nos dice nada…) o en el que con un solo acepto, nos intentan meter un montón de finalidades de tratamiento distintas sin que tengan que ver ni esté justificado (por ejemplo cesiones a terceros).
Al ser una de las obligaciones más “visibles” esperemos que las empresas y organizaciones se lo tomen en serio.
¿Cree que las empresas están haciendo caso a las autoridades y van a estar preparadas para esta nueva forma de ver la privacidad?
Honestamente, creo que no. Si bien es cierto que empresas grandes y medianas ya han iniciado procedimientos de adaptación y reflexiones internas, en el tejido empresarial general de nuestro país compuesto en su mayoría por pymes todavía queda mucho por hacer.
Hay que tener en cuenta, además, que hay pequeñas empresas y profesionales que todavía piensan que a ellos no les afecta la legislación de protección de datos por lo que el trabajo será doble: el de concienciación y el de adaptación al Reglamento.
La Agencia Española de Protección de Datos está siendo muy fértil en la publicación de guías de ayuda y de información pero me temo que van a necesitar un tiempo de “digestión”.
“Sobre la adaptación de las pymes al RGDP aún queda mucho por hacer. Muchas de las pymes creen que no les compete el tema. Eso supone que habrá que hacer un esfuerzo por concienciarlas”.
Paz Martín, socia directora Legal Things Abogados.
Multinacionales como Facebook, Google o Amazon se verán afectadas por el principio de la extraterritorialidad ¿Cree que se adaptarán al marco europeo nuevo legislativo?
Si quieren trabajar en el marco de la Unión Europea no les quedará otro remedio. Desde la famosa Sentencia del TJUE sobre el derecho al olvido (STJUE C-131/2012, de 13 de mayo de 2014), la cuestión quedó clara y si se hace tratamiento de datos de ciudadanos de la Unión Europea, tendrán que cumplir con la nueva legislación.
Y no sólo eso, estos gigantes de los datos están mucho más expuestos a las brechas de seguridad cuya comunicación (a la Agencia Española de Protección de Datos en el caso de España) será ahora obligatoria. De hecho, en los últimos meses se han empezado a publicar los cambios en sus políticas.
Da la sensación que esta norma puede generar un servicio añadido de asesoramiento de abogados como usted expertos en privacidad.. ¿Hay nicho de mercado?
Tanto como nicho de mercado, no estoy segura pero desde luego hay una gran necesidad porque hay desconocimiento. Desde luego es una oportunidad de negocio para los profesionales de esta materia pero nos toca no sólo asesorar sino realizar una labor previa de información, sensibilización y concienciación a las empresas.
Este es un tema importante y desde luego cualquier empresa u organización debería buscar asesoramiento para estar seguro de hacer las cosas bien.
No le parece una paradoja que siendo el Reglamento tan complejo la figura del Delegado de Protección de Datos no sea obligatoria?
La verdad es que el Reglamento ha tenido en cuenta que las exigencias a una pequeña empresa no pueden ser las mismas que las de una gran empresa con estructuras complejas y un gran volumen.
De hecho, el Delegado de Protección de Datos será obligatorio en aquellos casos en los que por volumen o tipo de datos, sea necesario un “plus” de supervisión. No tiene mucho sentido que una pequeña empresa tenga que soportar dicha obligación si su actividad no implica un tratamiento de datos de riesgo.
No obstante habrá organizaciones que si bien no estén obligadas, puede ser recomendable designar esta figura dentro de una política de “buenas prácticas corporativas”. Si atendemos al principio antes citado de “accountability”, el hecho de preocuparse por la privacidad, designar un DPO, dotarle de medios etc, puede ser un indicativo de cumplimiento de dicho principio.
Entiendo que también un abogado experto en la materia puede ser un DPO, ¿Qué rasgos debe tener ese profesional para ejercer su cometido?
Por encima de todo, preparación y conocimiento de la materia. Los profesionales de la privacidad no dejamos de estudiar y de formarnos. Con el nuevo Reglamento todos somos nuevos y nos vemos obligados a seguir muy de cerca las interpretaciones del mismo, los informes, guías y recomendaciones de las autoridades de protección de datos y a conocer el verdadero alcance del cambio legislativo en cada empresa.
El DPO va a tener que canalizar todo lo que tenga que ver con la protección de datos de la organización y tendrá un papel importante en la notificación de las brechas de seguridad, en los procedimientos de evaluación de impacto y en definitiva en el buen cumplimiento de la norma.
Lo bueno de este Reglamento y de las próximas certificaciones es la profesionalización del sector, lo cual es, como en todos los sectores, de agradecer.
Cómo saber si ese abogado que atiende mi privacidad es realmente competente y está preparado. ¿En qué debo fijarme?
En su formación y en su experiencia. Parece un tópico pero los dos factores son determinantes. Están proliferando los cursos de DPO y de nuevo RGPD: unos son magníficos. Otros, un negocio más.
Con las próximas certificaciones que no serán obligatorias pero que servirán de referencia, tendremos un elemento más de diferenciación. En cualquier caso, la Agencia Española de Protección de Datos ha insistido mucho en que la certificación no es obligatoria por lo que un buen profesional, con formación y experiencia demostrables es perfectamente apto para prestar el asesoramiento adecuado. No obstante caminamos hacia una mayor profesionalización que redundará en un mejor cumplimiento.
¿Es cierto que con el RGPD tienen los ciudadanos mejor protegidos sus derechos?
En mi opinión sí. Los ciudadanos nos vemos abrumados con el uso de nuestros datos y la falta de transparencia con la que se utilizan a veces. La mayoría de la población no es “nativa” digital pero se ha incorporado al uso de las nuevas tecnologías, uso de redes sociales y comercio online sin conocer muy bien sus riesgos, especialmente en lo que afecta a la privacidad.
El RGPD insiste mucho en el principio de transparencia, en informar claramente de lo que se va a hacer con los datos. Las autoridades son conscientes de que nadie se lee los avisos legales ni las políticas de privacidad y a menudo una inocente compra online se convierte en un cheque en blanco con nuestros datos única y exclusivamente porque hemos dado a la casilla “acepto la política de privacidad”.
El Reglamento obliga a informar claramente, en un lenguaje sencillo, de más cosas de las que hasta ahora se exigían para una mayor garantía de sus derechos. El ciudadano siempre puede revocar su consentimiento. Ser, en definitiva, soberano de sus datos.
No obstante queda una enorme labor de sensibilización especialmente para las nuevas generaciones sobre el uso de los datos. Las redes sociales se convierten en un lugar que conviene conocer, saber qué tipo de información se comparte y sus consecuencias.
“El Reglamento obliga a informar claramente, en un lenguaje sencillo, de más cosas de las que hasta ahora se exigían para una mayor garantía de sus derechos. La idea es que esta nueva norma nos proteja más a todos”.
Entrevista hecha a Paz Martín, socia directora de Legal Things Abogados, por el periodista jurídico y emprendedor digital LuisJa Sánchez.
Envíanos tú también un artículo a profesionales@lexgoapp.com y nosotros lo publicaremos en nuestro blog. ¡Anímate!