Ainhoa Oliva La pregunta que nos debemos hacer todos los profesionales dedicados a la Privacidad y a la Protección de Datos en nuestras empresas es ¿somos conscientes de cómo impacta el nuevo Reglamento Europeo General de Protección de Datos (RGPD) en nuestras empresas? Ya no podemos demorar mucho más la respuesta, ya que este reglamento empezará a ser aplicable a partir del próximo 25 de mayo de 2018.
Seguramente muchas de las respuestas que recibiríamos, es que las empresas españolas están empezando a desarrollar programas de cumplimiento, aunque queda mucho por hacer. Además, el desarrollo o la revisión de las actuales normas locales de protección de datos en los países miembros de la Unión Europea, hace que todavía sea más ardua la labor para determinar qué requisitos debemos implantar en nuestras empresas para que cumplamos con la nueva normativa de Protección de Datos. En España, estamos inmersos en el nuevo Anteproyecto de la Ley Orgánica 15/1999 de Protección de Datos, cuya aprobación está pendiente y que esperamos que se produzca antes de la fecha de aplicación del nuevo Reglamento Europeo de Protección de Datos.
Por ello, es crítico definir correctamente el ámbito y las fases en los proyectos que hay que desarrollar para la implantación del nuevo RGPD en las empresas. No obstante, es especialmente importante para aquellas compañías que operan y procesan datos personales en diferentes países de la UE, donde la necesidad de contar con recursos económicos y humanos para adaptarse a esta nueva normativa, supone un esfuerzo muy importante. Otra de las recomendaciones que creo debemos destacar es que en este tipo de proyectos internacionales se deben asignar “Champions”, responsables en cada área o departamento, que se encarguen, a lo largo de todo el proceso, de velar por la correcta implantación de esta nueva normativa en sus respectivas áreas. Ellos deben analizar los posibles gaps y proponer recomendaciones junto con el resto de áreas dentro de la compañía.
Es importante destacar que el cumplimiento de las normas y en especial de esta, no es algo que debe preocupar sólo a los departamentos: Legales, Compliance o Seguridad. sino que tiene que estar embebido dentro de la propia compañía. Todos y cada uno de los departamentos deben ser muy conscientes de la importancia de la Protección de Datos y esto incluye el compromiso ineludible por parte de los órganos directivos. Todos deben tener el conocimiento y la responsabilidad a la hora de tratar datos personales. Y esto es especialmente relevante de cara al nuevo RGPD ya que exige lo que se llama el principio de “Accountability” o de “responsabilidad proactiva”. Esta novedad implica que las empresas deben ser capaces de evidenciar y demostrar cómo cumplen con esta norma. Para ello, deben contar, entre otros, con políticas, procesos y procedimientos redactados e implementados en sus sistemas que garanticen que el tratamiento de los datos es acorde a los principios de protección exigidos.
Esta no es la única novedad que plantea el nuevo reglamento, otra de las que consideramos más relevantes es la designación obligatoria, para algunas compañías, del denominado “Delegado de Protección de Datos” (DPO). El DPO se debe entender como un coordinador del cumplimiento de la protección de datos en la empresa. Por ese motivo, es recomendable que todas las compañías que no estén obligadas, valoren la necesidad de contar con este tipo de roles. El cumplimiento de esta medida generará nuevos puestos de trabajo y permitirá a las empresas contar con profesionales en el ámbito de la Privacidad que asesoren a estas y a sus empleados en el correcto cumplimiento de las normativas de protección de datos. Entre otras funciones, los DPOs velarán por la seguridad de los datos personales, y lo harán desde el momento en el que surge la idea de lanzar un nuevo producto o servicio (privacy by desging). Con las nuevas soluciones ya en el mercado, son ellos el punto de contacto con consumidores y autoridades de protección de datos para garantizar en continuo cumplimento.
El nuevo reglamento trae otro cambio muy importante que beneficia a los consumidores, el consentimiento expreso para el tratamiento de sus datos en determinados supuestos. Así, para el envío de comunicaciones comerciales electrónicas a potenciales clientes se necesita dicho consentimiento expreso: libre, específico, informado e inequívoco por parte del interesado. La forma en la que se deberá recoger dicho consentimiento será mediante una clara acción afirmativa por parte del interesado. A partir de la aplicación, en mayo del 2018, ya no serán válidos los consentimientos tácitos para ningún tipo de comunicación comercial. Esto que inicialmente podría verse en los departamentos de Marketing como algo negativo no es para nada así, ya que las compañías van a dirigir la publicidad a quienes realmente están interesados en recibirla y prestaron su consentimiento para ello. Esta acción está alineada con el objetivo principal de todas las empresas de poner al cliente en el centro de su estrategia, protegiendo sus derechos de protección de datos.
Este nuevo modelo de auto regulación RGPD, deja que sean las propias entidades las que se auto-evalúen y decidan qué medidas y controles son los más adecuados para conseguir el correcto cumplimiento de la normativa en su negocio. Esta libertad tiene una contrapartida, ya que las sanciones por incumplimiento se han incrementado considerablemente respecto a las que establece la actual Ley Orgánica de Protección de Datos, llegando a alcanzar, en algún supuesto, hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior o 20 millones de euros, la cuantía que resulte mayor.
Veamos este nuevo reglamento como una oportunidad para que todas las empresas pongan en orden y actualicen muchos procesos y tratamientos que llevan a cabo en su día a día, en los que intervienen datos personales.
Paola Redecilla
EMEA Compliance Officer General Data Protection Regulation en Experian
Artículo de opinión publicado en el Economista en octubre de 2017