Pocas normativas en los últimos tiempos han sido capaces de generar tanta resonancia, tanto debate y tantas dudas como lo ha hecho el nuevo Reglamento General de Protección de Datos, en vigor desde 2016 y con aplicación obligatoria para todas las empresas y profesionales desde el pasado 25 de mayo. Los afectados son conscientes de que deben cumplirlo, pero aún quedan aquellos que desconocen cómo hacerlo y en qué medida podría afectar a su negocio.
A esta problemática se refirió el socio del área de Propiedad Intelectual y Tecnologías de la Información del despacho Grupo Gispert, Sönke Lund, durante su ponencia Cinco pasos para que tu empresa esté en el lado seguro a la mayor brevedad, el pasado 31 de mayo en la emblemática Casa de les Punxes de Barcelona. De fondo, una advertencia que evidencia el alcance de la nueva norma: la normativa prevé sanciones de hasta 20 millones de euros para las empresas que incumplan sus exigencias, aparte de las exigencias del mercado, ya que será requisito de muchos concursos de proveedores que estén al día con su política de privacidad y procesos de protección de datos
¿Cuál es el lado seguro? Según explicó Sönke Lund, aquel en el que confluyen la prevención de los listados de actividades susceptibles de tratar con datos de personas de dentro y fuera de la compañía, el análisis de las deficiencias detectadas y la aplicación de medidas necesarias para prevenir fallos en la seguridad de los datos. Todo ello, bajo la supervisión del Delegado de Protección de Datos, en su caso, que reportará a la dirección de la compañía y con el que las agencias de protección se comunicarán en los casos de posibles deficiencias de seguridad en las empresas.
La exhaustividad que impone la nueva normativa europea requiere también de importantes esfuerzos. Uno de ellos es detallar todas las actividades en la que exista tratamiento de datos. Más aún, con la utilización de móviles u ordenadores personales dentro de la compañía, lo que complica la tarea. Recordó Sönke Lund que en el listado deben incluirse, entre otros y además de las actividades, todos los datos identificativos de quién tratará los datos y los fines y los plazos de supresión previstos. Una oportunidad, ofrecida a modo de consejo a los asistentes, para revisar la "eficacia, el sentido y la transparencia" de este tratamiento en el día a día de la empresa.
A partir de ahí se abre la etapa de analizar las posibles deficiencias. Lo que en la jerga técnica se conoce como Gap Analysis. Según explicó Sönke Lund, se trata de identificar, entre otras muchas cuestiones, la necesidad del tratamiento de datos, la veracidad y actualización de los mismos, la legitimidad para tratarlos, los plazos y mecanismos de supresión de datos cuando su tratamiento ya no sea necesario, los permisos y el control de acceso a los datos o la seguridad frente a ataques externos. Es el punto de partida sobre el que construir el plan de acción.
Encriptación de datos personales, estabilidad para garantizar el constante cumplimiento, recuperabilidad contra la pérdida de datos y revisiones periódicas para actualizar las acciones que, en su caso, hayan quedado anticuadas. Son las medidas técnicas y organizativas obligatorias —MTOs— para mantener la seguridad de los datos exigidas por la normativa. "El RGPD pone énfasis en las obligaciones de documentación, por lo que se tendrá que preparar un soporte que demuestre los esfuerzos de la empresa en los MTOs de la seguridad de datos y en su implementación", recordó Sönke Lund.
A partir de los requisitos básicos para operar conforme al Reglamento de Protección de Datos se abren otras exigencias y requerimientos para preservar el buen tratamiento que deben hacer las empresas de los mismos. La Unión Europea ha estrechado el cerco a las empresas y a la forma en la que se tratan los datos. Adaptarse a este nuevo escenario no es una recomendación, es ya una exigencia. El desarrollo de la normativa depende ahora de las agencias de protección de datos, y de la nueva Ley Orgánica de Protección de Datos española, todavía en proceso legislativo, por lo que el seguimiento de la protección de datos continuo y proactivo es obligatorio.
