El nuevo Reglamento Europeo de Protección de Datos, que se comenzará a aplicar en mayo de 2018, obligará a las empresas a evaluar los riesgos derivados del uso de datos personales, y a invertir en medidas de seguridad y mecanismos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.
Según Natividad Rabazo Auñón, abogada experta en Protección de Datos y ponente en la última edición de los Lunes del Instituto de Auditores Internos, “las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que establece el Reglamento.” Y es que entre las novedades está la Responsabilidad Activa de la empresa, por la que se entiende que actuar sólo cuando ya se ha producido una infracción puede causar daños a los interesados que pueden ser muy difíciles de reparar o compensar.
Asimismo, entre las nuevas obligaciones derivadas del Reglamento se establece la elaboración de una evaluación de impacto cuando las operaciones del tratamiento de los datos entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance y fines. De acuerdo con la ponente “la prevención de la infracción es una de las bases sobre las que se construye el reglamento”.
Según la experta, el hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel clave a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de demostrar ante una posible inspección que, efectivamente, la empresa está alineadas con el reglamento.
Los principales objetivos de la nueva normativa son reforzar la protección de los datos personales y fortalecer la seguridad de los estados, sin entorpecer el trabajo de las empresas y facilitando la competencia. Una de las novedades que más afecta a las organizaciones es que en el principio de consentimiento se establece que éste ha de ser verificable, lo que implica que el silencio, las casillas ya marcadas o la inacción no constituyen consentimiento. “Esto lleva a las empresas a la necesidad de revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una posible inspección”, aclara Natividad Rabazo.
Otra novedad que incluye el reglamento es el denominado derecho al olvido, por el que se puede limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información sea obsoleta, falsa, incompleta, desproporcionada o irrelevante, aunque la publicación original sea legítima. “Se diferencia entre la fuente de la información y el buscador: la fuente está ahí y es legítima, pero el buscador no tiene por qué mostrarla cuando pones tu nombre. Es un derecho muy necesario que llega después de muchas denuncias a buscadores”, aclara Rabazo.
También destaca la figura del Delegado de Protección de Datos (Chief data officer), nexo de unión entre la empresa responsable y la autoridad de control, para lo que ha de contar con protección, libertad e independencia para ejercer su labor dentro de la compañía, por lo que reporta directamente al Consejo de Administración.
Una única norma para todos los Estados Miembros
El ámbito territorial del reglamento es uno de sus puntos fuertes. La normativa se aplica en todos los Estados miembros de la Unión Europea (UE), a las empresas extranjeras que presten sus servicios a clientes residentes en la misma, y al tratamiento de datos personales por parte de un responsable establecido en un lugar en que el derecho de la UE sea aplicable en virtud del Derecho internacional privado. “La normativa apuesta por que los clientes en Europa tengan el mismo nivel de protección de cualquier compañía que les preste servicios, sea ésta europea o no”, lo que beneficia a las empresas españolas, que al contar con leyes locales más estrictas competían en desigualdad con muchas empresas extranjeras que buscaban para operar otros países europeos con normativas más laxas.
Además, la normativa establece nuevos instrumentos para agilizar las transparencias internacionales de datos a empresas radicadas en países con un nivel de seguridad no equiparable al europeo.
No obstante, también existen aspectos que hay que pulir. Para Natividad Rabazo, “el carácter poco atractivo de los Códigos de Conducta y certificados si no evitan sanciones, el tratamiento dado a los incidentes en seguridad, y la elevación desproporcionada del importe máximo de las multas y la falta de garantía de que las autoridades de control vayan a aplicarla de manera homogénea en todos los Estados de la UE”, son los puntos negativos de la nueva regulación.
