El nuevo reglamento de protección de datos ya está en vigor ¿Y ahora qué?

Esta semana nos escriben desde Foro técnico de formación. FORO es una empresa con larga trayectoria en la formación y asesoramiento para empresas sobretodo con todo aquello relacionado con el desarrollo de RRHH. Muchas gracias por vuestro artículo!

Las semanas previas, y sobre todo los días previos al 25 de mayo de 2018 (fecha de entrada en vigor del nuevo reglamento europeo de protección de datos, se pudo vivir una pequeña, o no tan pequeña, psicosis por las posibles consecuencias que podría tener el incumplimiento de la nueva normativa. ¿Quién no recibió alguna o muchas solicitudes de consentimiento expreso para continuar tratando sus datos personales, enviando publicidad etc?

El miedo a las durísimas sanciones que incorpora la nueva normativa parece que incrementó exponencialmente el interés de las empresas por su cumplimiento riguroso.

Han pasado ya unos pocos meses desde aquellos días y parece que se han calmado los ánimos. No obstante es necesario no bajar la guardia y recordar que el nuevo reglamento es ya plenamente vigente y que sus exigentes obligaciones planean ya sobre todas las organizaciones. Esto no ha hecho más que empezar. Si bien el objetivo principal de la nueva normativa es reforzar los derechos de los ciudadanos de la Unión Europea en lo referente a sus datos personales, este refuerzo tiene como consecuencia el importantísimo aumento de la exigencia a quien trata de dichos datos. Esto es las empresas, organizaciones, negocios o profesionales. Recordemos que el nuevo reglamento parte de una premisa principal: la Autorregulación.

La autorregulación significa que no hay estándares como los que facilitaba la LOPD de 1999, por tanto cada empresa u organización debe diseñar sus propios mecanismos, protocolos y medidas de seguridad que garanticen el cumplimiento de la normativa. Un traje a medida basado en la propia identidad, dimensión y realidad. Dicha autorregulación exige partir de un análisis de cuales son los tratamientos de datos realizados por la organización y qué riesgos puede suponer para la privacidad de dichos datos tratados. Y a partir de aquí diseñar las medidas concretas que aseguren el cumplimiento.

Por otro lado, la exigencia de la Proactividad en el cumplimiento que impone el reglamento a lasa empresas, empieza por la trascendencia que deben dar las mismas a la formación y sensibilización del personal. El cumplimiento de la normativa empieza por la convicción de su dirección. No se trata de cumplir el expediente, se trata de formar conciencia de que la protección de datos es un elemento muy importante en cualquier organización. Esta convicción debe transmitirla la dirección a todo su personal. De esta manera se logrará el cumplimiento efectivo y transversal del reglamento de protección de datos por parte de toda la organización.

Otros aspectos y tareas a realizar por las empresas:

– Revisar todas las cláusulas informativas (en documentación y en la web) para garantizar su transparencia. Deben ser sencillas, claras y sin legalismos.

– Disponer de un protocolo par detectar y comunicar a la Agencia Española de protección de datos cualquier incidencia de seguridad, entendida como cualquier pérdida de control que afecte a las medidas de seguridad que proteja los datos personales de los cuales la empresa sea responsable.

– Revisar el cumplimiento de los requisitos de consentimiento. Es obligatorio el consentimiento expreso, inequívoco y que se demostrable (recomendable siempre por escrito).

– Contratos más rigurosos con los proveedores con acceso a datos (informático, gestorías etc),  y que son llamados también como encargados de tratamiento , comparten nuestra responsabilidad del tratamiento por lo que ya no basta un contrato de confidencialidad para garantizar nuestro cumplimiento, sino que debemos asegurarnos que estas empresas también cumplan por si mismos, con la normativa de protección de datos. En caso contrario, su incumplimiento se convierte en nuestro incumplimiento.

– Hacer evaluaciones de impacto, si fuera preciso. Estas evaluaciones son un análisis de riesgo sobre un tratamiento de datos concreto que hay que hacer con carácter previo al mismo y que consisten en estudiar la necesidad, riesgos y consecuencias de dichos tratamientos. Por ejemplo una campaña de mailing masivo.

– Designar un delegado de protección de datos, en su caso. Debe ser un profesional experto en protección de datos. Esta figura es obligatoria en determinados casos, no obstante siempre es aconsejable disponer del asesoramiento de uno.

Vistas, aunque de modo resumido, las principales obligaciones que impone el reglamento de protección de datos, resulta fácil concluir que es fundamental el asesoramiento de un experto en la materia para saber que medidas concretas necesita adoptar nuestra organización, para cumplir con las exigencias del reglamento