Ante la entrada en vigor del nuevo Reglamento General de Protección de Datos, las empresas adquieren una mayor responsabilidad a la hora de salvaguardar los datos personales de sus clientes. El RGPD propone también un régimen sancionador más estricto que incluye multas de hasta 20 millones de euros o el 4% de los ingresos anuales del negocio.

Expertos reunidos hoy por el Grupo de investigación Conflict Management de ESADE Law School y ARAG, compañía aseguradora de Defensa Jurídica, han coincidido en que el modelo legislativo ha evolucionado y pasamos de tener un sistema formalista a un sistema flexible en el que cada empresa tiene mayor libertad para decidir cómo se organiza, pero con una actitud de “responsabilidad activa”. Los especialistas han explicado que ya no será necesario el registro de los ficheros o la clasificación de datos en niveles de seguridad, pero recomiendan a las empresas que tomen las “medidas necesarias” para salvaguardar los datos según la sensibilidad de los mismos (análisis de riesgo, registro de actividades de tratamiento, protección de datos desde el diseño, etc.).

No incurrir en sanciones

La aplicación del nuevo RGPD pone en situación de alerta a más del 40% de las pymes españolas, según datos del sector empresarial y tecnológico del país. El incumplimiento de esta ley contempla sanciones de hasta 20 millones de euros o del 4% del total de la facturación en caso de que supere dicha cantidad. Los expertos aseguran que cualquier empresa que venía cumpliendo con la Ley Orgánica de Protección de Datos no debe de tener dificultad en adaptarse al nuevo Reglamento. No obstante, advierten que determinadas empresas, en especial, aquellas de servicios dirigidas a gran consumo, pueden tener una mayor complejidad.

Delegado de protección de datos (DPO)

Entre las principales novedades del RGPD está la de designar de forma oficial un Delegado de Protección de Datos en muchas empresas. Esta nueva figura deberá supervisar la aplicación de las medidas técnicas y organizativas adecuadas para cumplir con la normativa y servir de enlace con la autoridad de control y con los titulares de los datos. Además, la abogada y directora de la Asesoría Jurídica Corporativa de ARAG, M. Belén Pose, recomienda que este perfil tenga “suficientes conocimientos jurídicos para poder trabajar de la mano de la Agencia Española de Protección de Datos (AEPD), así como conocimientos sobre las nuevas tecnologías”. Pose indica que “el nuevo Reglamento también exige mantener un registro de las actividades que impliquen tratamiento de datos y realizar evaluaciones de impacto en los casos que puedan suponer un riesgo para los derechos y libertades de las personas físicas”.

Derecho a la portabilidad de datos

Los expertos han hablado sobre cómo ejercer el nuevo derecho a la portabilidad de datos entre empresas sin incurrir en sanciones. Por su parte, Robert Madge, CEO de Xifrat Daten AG (Suiza) ha comentado que el derecho de cada persona de pedir la portabilidad de sus datos personales, para enviarlos a otras empresas, va más lejos que la protección de datos y es una disposición para fomentar la competencia. “Las empresas que intentan guardar los datos de sus usuarios como propiedad propia deben tomar nota y las nuevas entrantes tendrán una herramienta para acelerar sus negocios, ofreciendo servicios especializados”, ha señalado. Para Madge, el RGPD introduce un cambio de concepto: “los individuos tendrán el poder de decisión sobre sus datos”.

Por último, Pablo Díaz Ortiz, Data Protection Officer de Caixabank, ha compartido la experiencia de implantación de una metodología de evaluaciones de impacto en la entidad financiera y ha destacado el gran reto que supone cambiar una forma clásica de evaluación de los aspectos de protección de datos, enfocada en el análisis jurídico, por una metodología basada en el análisis global de riesgos, tanto legales como técnicos y procedimentales. Asimismo, ha detallado la experiencia y los retos de implementar esta metodología a nivel grupo.