En qué afecta a tu empresa el nuevo reglamento de protección de datos: Entrevista
Además, Julio asesora y participa en las relaciones de Cepyme con la AEPD. Su finalidad es ayudar en la divulgación e implantación del nuevo Reglamento europeo 2016/679 en Protección de Datos. Responsable del marco regulatorio de seguridad de GRUPO IBERICAR, sociedad filial de MAPFRE, compuesta por más de 25 compañías y 1.500 empleados. Ponente en conferencias, jornadas y eventos relacionados con la Protección de datos para empresas tanto del sector público como privado.
Con la inminente llegada de la nueva normativa sobre la Protección de Datos. Entrará en vigor el próximo 25 de Mayo, y queremos aclarar los principales conceptos y las novedades.
P- ¿Qué es la Protección de Datos y en qué nos afecta a los ciudadanos de a pie?
R- La Protección de Datos es el derecho que tenemos todas las personas a conocer quién tiene y trata nuestros datos personales, y el derecho que tenemos a que no sean utilizados sin nuestra autorización y protección debida, de manera que se garantice nuestro honor y confidencialidad.
El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española y reconocido por el Tribunal Constitucional.
Además, el marco legislativo europeo también reconoce el derecho a la protección de datos, obligando a todos los Estados miembros de la UE a garantizarlo, concretamente dice (artículo 8 de la Carta de los Derechos Fundamentales de la UE). Por tanto se trata de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan.
LOPD Y NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS – E-LEARNING-
P – ¿Cuáles son los principales cambios que supone el nuevo reglamente en Protección de Datos y cómo afecta a las empresas?
R- El nuevo Reglamento Europeo en Protección de Datos es una de las normas centrales de la UE, aplicable el 25 de mayo del 2018. Los reglamentos tienen un alcance general y son obligatorios en todos sus elementos. Son directamente aplicables en cada estado miembro, es decir, todos los países tienen que aplicar el reglamento europeo.
Es un reglamento transversal a todas las actividades que se desarrollen en el sector público y privado. Y a la totalidad de todas las personas que están en la UE. Va más allá de la ciudadanía europea, afecta a cuantos residen en la Unión Europea.
A través del principio de responsabilidad proactiva o “Accountability” y “Privacy by Design”, los responsables de tratamiento (la empresa) y los encargados de tratamiento (terceras empresas que tratan los datos del responsable) deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del Reglamento a través de políticas, procedimientos y protocolos de seguridad.
“Se trata de buscar la privacidad desde el primer momento de concepción de un bien o servicio y no a posteriori como ahora hacen la mayoría de las empresas”
El cumplimiento de las medidas debe basarse en el buen hacer y uso de los datos personales, lo que implica toda la vida del dato: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión.
P- ¿Cuáles son las novedades más destacables?
R- En cuanto a novedades destacables, en esta nueva normativa podemos ver la introducción del Delegado en Protección de Datos (DPO). Además, será obligatorio realizar análisis de riesgos y evaluaciones de impacto para determinar el cumplimiento normativo. Así como, registrar documentalmente las operaciones de tratamiento del Responsable del Fichero y Encargados del Tratamiento. Y aplicar más transparencia en la recogida de datos; información, transparencia, consentimiento y minimización.
También, debemos tener en cuenta que se incrementará la cuantía de las sanciones y se establecerán obligaciones para nuevas categorías especiales de datos.
NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS – MODALIDAD E-LEARNING
P- ¿Qué consecuencias puede suponer no ajustarnos a esta normativa? ¿Existen sanciones?
R- El nuevo Reglamento europeo trae consigo un fortalecimiento del régimen sancionador, sin hacer mención específica a cuantías mínimas, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10.000.000 o 20.000.000 de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Básicamente, nos pueden sancionar por lo mismo que nos podían sancionar con la normativa en Protección de Datos 15/99 de Datos de Carácter Personal (en vigor hasta mayo del 2018), a lo que hay que añadir los nuevos procedimientos y requerimientos como la recogida de datos sin consentimeinto y/o autorización, utilizar los datos para finalidades distintas, no disponer de un DPO cuando sea necesario o no comunicar una incidencia a la Autoridad de Control cuando sea necesario.
P- ¿Se están formando las empresas para adaptarse al nuevo reglamento? ¿Qué tipo de formación existe al respecto?
R- La formación siempre es esencial en cualquier actividad y sector para ser competitivos, además no olvidemos que la formación evita sanciones por incumplimiento de las normativas que las empresas debemos cumplir, independientemente de nuestra actividad.
En Protección de Datos siempre fue necesaria la formación, y con los cambios del nuevo Reglamento, podemos decir que aquella empresa que no actualice sus conocimientos corre un riesgo muy alto de ser sancionada por un incumplimiento y como hemos visto las sanciones pueden son muy cuantiosas. No olvidemos que la Agencia Española de Protección de Datos se autofinancia a través de sanciones.
Actualmente, existe un amplio abanico de cursos en protección de datos, sobre todo e-learning. Desde hace unos meses, proliferan muchas empresas expertas en protección de datos y formación que curiosamente cuando investigas un poco en sus páginas web y redes sociales, te encuentras con los incumplimientos más básicos de la Ley, por tanto, debemos pensar que nos encontramos ante “chiringuitos” y no ante consultoras expertas.
Desde la posición de experto en la materia, aconsejo que se recurra a consultoras con experiencia en metodología de la formación, porque el “copy&paste” es muy fácil hacerlo, pero de nada nos sirve si no sabemos explicar de manera pedagógica el contenido, por este motivo colaboro con Creatia Business, una consultora con una amplia y dilatada experiencia en formación, donde su cartera de reconocidas empresas clientes en su mejor carta de presentación.
P- Respecto a la aparición de la figura del DPO ¿Cree que es una buena noticia? ¿Servirá para mejorar la privacidad de personas y empresas?
R- El Delegado en Protección de Datos (DPO) es la piedra angular del nuevo Reglamento, es un experto que debe acreditarse mediante experiencia demostrable, ya no vale decir “soy experto”.
Es un perfil parecido en cuanto a su configuración a la que ya conocemos del Compliance Officer en materia penal.
Prácticamente todas aquellas empresas que tienen Responsable de Seguridad. Recordemos que hablamos de empresas con un nivel medio y/o alto de ficheros de datos, necesitarán un DPO.
Será obligatorio para la Administración Pública, y recomendable para toda empresa privada. Si bien no es obligatorio si no se dan una serie de requisitos.
El DPO debe acreditar, incluso mediante una certificación, sus conocimientos. Esto es un extraordinario valor competitivo para la empresa. Ofrecerá fiabilidad y seguridad para la empresa. También para las personas con las que mantenemos una relación por la cual tratamos sus datos.
Fijaos en el valor e importancia que le da el Reglamento. Dice que el DPO no podrá ser cesado ni despedido por el ejercicio de sus funciones. Tampoco podrá recibir órdenes de superiores. Sin duda, el DPO es la figura que debe facilitar el cumplimiento del nuevo Reglamento europeo en Protección de datos.
P- ¿Existe formación específica para los futuros DPO? ¿En qué debería consistir dicha formación?
R- La Agencia Española de Protección de Datos ha publicado un esquema de certificación a través de su página web, donde se informa de manera detallada sobre el mismo, lo que incluye la formación del DPO.
El esquema de certificación permite asegurar que los DPO reúnen la cualificación y los conocimientos para ejercer.
Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.
La formación del DPO se basa en un gran conocimiento de la Ley. La propia Agencia Española de Protección de Datos hable de acreditar experiencia más que formación. Esto nos deja ver que claramente busca profesionales acreditados por su experiencia. No valora tanto perfiles únicamente académicos, si bien, lo ideal es aunar ambas condiciones.
Recurrir a empresas con amplia experiencia en formación es fundamental. Es clave para conseguir el propósito de acreditarnos como DPO.
Esta es la entrevista a Julio Fernández sobre la nueva normativa de la Ley de Protección de Datos. ¿Te ha gustado esta entrevista sobre la ley de protección de datos? ¿Te gustaría saber más sobre este tema o de temas relacionados con la gestión Empresarial? No dudes en apuntarte a nuestros cursos.
escribe en los comentarios si tienes alguna duda. No dudes en compartir tus opiniones con nosotros, estaremos encantados de responderte.
