La aplicación a partir de mayo de 2018 del Reglamento General de Protección de Datos de Europa (RGPD) supondrá un nuevo paradigma para las empresas afectadas. Tan es así, que al margen de las sanciones económicas que implicará su incumplimiento, las compañías deberán tener en cuenta el “perjuicio reputacional” que supondrá no atenerse a las nuevas obligaciones que de él se deriven. Sobre este tema disertará Lourdes Oroz, vicepresidenta de Pribatua y miembro de la Comisión de Derecho de las Tecnologías del Colegio de Abogados de Pamplona, dentro del programa del III Congreso de Seguridad Privada en Euskadi, cuyo periodo de inscripción ya está abierto.
– ¿Cuáles son a grandes rasgos las principales novedades que aporta el Reglamento General de Protección de Datos de la UE?
El nuevo “paradigma” es que el legislador europeo ha considerado que las organizaciones ya son lo suficientemente adultas, en esta materia, como para hacer su propia valoración del riesgo y en base a ello adoptar las oportunas medidas de seguridad. La pro actividad, la organización debe acreditar que cumple con los principios y adopta las medidas. La gestión del riesgo imprescindible para determinar tanto las medidas de seguridad como para valorar la posible vulneración de derechos y libertades de las personas afectadas. Y sin lugar a dudas la incorporación de la privacidad desde el diseño y por defecto.
-¿Qué aplicación tienen estas novedades para el ámbito de la videovigilancia y la seguridad privada? ¿Qué han hecho hasta ahora las empresas que ya no podrán hacer y qué consecuencias tendrá su incumplimiento?
La evaluación de impacto es obligatoria en el caso de observación sistemática a “gran escala” de una zona de acceso público, esto supone la obligación de realizar una descripción sistemática de las operaciones de tratamiento previstas, de los fines de tratamiento, así como del interés legítimo, y que se lleve a cabo una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación a su finalidad.
En algunas ocasiones, hasta ahora, se tomaba la decisión de establecer la video vigilancia sin analizar ni realizar una ponderación entre esta medida y la restricción de los derechos fundamentales, la proporcionalidad establecida en los juicios de idoneidad, necesidad y su carácter proporcional en sentido estricto.
Un cambio importante es la obligación del responsable de tratamiento en la contratación del encargado de tratamiento, una posición que va más allá del RD 1720/2007, de velar por el cumplimiento, ahora se ha de adoptar una actitud “in vigilando” para realizar el contrato de la empresa de video vigilancia, esta empresa debe ofrecer garantías del cumplimiento de las obligaciones del RGPD, ha de poner a disposición del responsable de tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones como encargado de tratamiento y permitir y contribuir a la realización de auditorias.
El incumplimiento de las obligaciones derivadas al RGPD ha de ser de tipo económico, como hasta ahora, si bien considero que el perjuicio reputacional se ha de tener en consideración cada vez mas. Da la impresión que las sanciones se han puesto con la idea de evitar el cálculo del rendimiento por incumplir. Hemos de ir viendo como se van posicionando las autoridades de control y los tribunales.
– ¿Cómo afectará la nueva normativa a la seguridad en las comunicaciones?
El RGPD en la seguridad de las comunicaciones plantea la adopción de medidas desde el análisis de riesgos, como para todo el tratamiento de datos, en este punto la ISO 27001, el sistema de gestión de seguridad de la información, puede ser un esquema de trabajo muy válido para las organizaciones, va más allá del tratamiento de datos personales y plantea la protección de los activos y la recuperación de la actividad de la organización, máxime teniendo en cuenta el uso cada vez mayor de la “nube”.
– ¿Qué supondrá la figura del Delegado de Protección de Datos en las empresas?
La figura del DPO aún tiene mucho recorrido en nuestro país para asentarse, puede suponer un avance para dar seriedad y profesionalidad a las personas que asumen la responsabilidad de la empresa en esta materia, puede dar lugar, en empresas pequeñas a un coste añadido, para el caso de que estén obligadas a contar con esta figura.
El Esquema que la Agencia Española de Protección de datos ha sacado para la certificación de organizaciones que certifiquen a los futuros delegados de protección de datos, va en la línea de reconocer la experiencia de trabajo, al tiempo que marca la exigencia de pasar por un examen, es de esperar que garantice mayor seriedad y compromiso de la empresa en el tratamiento de los datos personales.
Si bien es cierto que en el momento presente no es obligatorio estar certificado para ser DPO, para el caso de contratar servicios externo, las empresas han de actuar desde su obligación de vigilancia a fin de garantizar que se cumplen con las exigencias establecidas en el RGPD.
– ¿Están lo suficientemente formadas las empresas de seguridad para la aplicación del Reglamento?
Esta es una pregunta que ha de responder cada empresa, ¿le han dedicado tiempo al estudio del RGPD?, ¿se ha hecho un plan de trabajo para implantar las exigencias del RGPD y estar listos para mayo de 2018?, si la respuesta es no, ya sabemos que hace falta más formación y dedicación para la aplicación del reglamento.
En esta línea desde nuestra asociación Pribatua, llevamos meses trabajando en varios grupos de trabajo, formados por profesionales del derecho y del mundo de las tecnologías de la información, se ha abierto este trabajo a personas asociadas y no asociadas.
Hemos analizado distintos temas que consideramos vitales del RGPD y en este momento estamos ya iniciando la fase práctica, la identificación de procedimientos, la redacción de procedimientos tipo, etc.
Es un trabajo, que como profesionales del sector nos está permitiendo, no solo ahondar en la norma y “trillarla”, sino compartir criterios desde una perspectiva de ganar-ganar, los que hoy somos colegas que hacemos un estudio en compañía, seremos en breve competencia bien formada o colaboradores al estar en ámbitos que necesitan complementarse.
Por otra parte, y como no puede ser de otra forma, en el rodaje iremos aprendiendo y tanto desde las autoridades de control como desde las resoluciones judiciales se despejaran dudas sobre tanto concepto jurídico indeterminado que tiene el Reglamento.
