Jornada de Andersen Tax & Legal y Fundación de Estudios Bursátiles y Financieros

 

 

• Ignacio Aparicio sostiene que el diseño de las medidas debe ser adecuado al volumen de datos que se gestionan, a la sensibilidad de los mismos y al tratamiento que se hace de ellos
• Isabel Martínez: el RGPD recoge el consentimiento expreso y actualizado del uso de sus datos, mediante una acción libre, inequívoca y precisa

16 mayo 2018.- El próximo 25 de mayo será de directa aplicación en todos los Estados miembros el Reglamento General de Protección de Datos, que regulará el tratamiento de datos personales que se realice en la UE o con datos de ciudadanos de la UE, con sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Una norma que otorga nuevos derechos a los usuarios sobre el control de sus datos y exige una responsabilidad proactiva a las empresas en el tratamiento de los datos.

Así lo han puesto de manifiesto durante la jornada ¿Estamos preparados para la inminente aplicación del RGPD? Nuevos retos ante la normativa europea de protección de datos, organizada por Andersen Tax & Legal y la Fundación de Estudios Bursátiles y Financieros (FEBF), en la que han participado Ignacio Aparicio, Socio de Andersen Tax & Legal, Rafael Ripoll, Of Counsel de la firma, Isabel Martínez Moriel, responsable del área de Privacy, IT & Digital Business del despacho, María García Zarzalejos, abogado de esta misma área, e Isabel Giménez, Directora General de la FEBF.

Durante su intervención, Ignacio Aparicio ha hecho hincapié en la responsabilidad proactiva que el Reglamento exige a las empresas como responsables del tratamiento de los datos, esto supone que las compañías “deben adoptar medidas necesarias para cumplir con el Reglamento y estar en disposición de demostrar que se están aplicando”. En este punto, ha sostenido que el diseño de las medidas debe ser adecuado al volumen de datos que se gestionan,a la sensibilidad de los mismos y al tratamiento que se hace de ellos.

“Desde la configuración y desarrollo de una tecnología, la privacidad debe estar establecida desde el diseño, mientras que en el caso de las políticas de privacidad para el recabo de datos, la privacidad debe llevarse a cabo por defecto para que sea el usuario quien decida sobre qué datos puede tratar el responsable del tratamiento”, ha manifestado Aparicio, quien ha enumerado determinadas medidas recomendables para cumplir con la privacidad, como la pseudominización, que implica “anonimizar los datos personales tras el periodo legal de conservación, de forma que no se puedan vincular con una persona pero se puedan utilizar para finalidad distinta para la que habían sido recabados, como podría ser para finalidades analíticas o estadísticas”.

Por su parte, Isabel Martínez Moriel ha subrayado que el Reglamento Europeo de Protección de Datos refuerza el derecho del usuario sobre sus datos y recoge el “consentimiento expreso y actualizado del uso de sus datos, mediante una acción libre, inequívoca, precisa y con la información suficiente sobre el tratamiento que se va a hacer de los datos”. Así, ha explicado que es necesario “realizar una evaluación de los datos personales tratados por la empresa para aplicar medidas adaptadas a aquellos que han estado activos o sobre los que se tiene un interés legítimo en base a una relación contractual”.

Asimismo, la responsable de Privacy, IT & Digital Business de Andersen Tax & Legal ha hecho referencia a los nuevos derechos de los usuarios que recoge el RGPD como el de portabilidad, limitación del tratamiento, a no ser objeto de decisiones automatizadas y, sobre todo, el derecho al olvido.

Según ha explicado, el nuevo modelo de privacidad está basado en la gestión del riesgo, en función de si se trata de riesgo alto o estándar, el cual se atiende mediante el diseño de medidas concretas para que el tratamiento de los datos sea seguro en función de su volumen y tratamiento. En este sentido, ha apuntado que “pese a que en muchos casos no se trate datos muy privados, el uso a gran escala de datos personales nos puede llevar a tener que realizar una evaluación de impacto”.

Finalmente, María García Zarzalejos ha abordado la figura del Delegado de Protección de Datos (DPO por sus siglas en inglés), obligado para autoridades y organismos públicos, entidades que traten datos de forma sistemática a gran escala y por último, para empresas que traten datos sensibles (sobre salud, afiliación sindical o política…etc.) o sobre infracciones penales. En su intervención ha indicado que debe ser una persona que no sea susceptible de incurrir en conflictos de interés, por lo que no podría ser un miembro de la directiva o aquellos que decidan sobre el tratamiento de los datos directamente, como puede ser el responsable del departamento de IT o marketing. Asimismo ha destacado que esta figura puede ser tanto una persona interna de la organización o como externo mediante un contrato de prestación de servicios.

Los ponentes han concluido que la aplicación del Reglamento Europeo de Protección de Datos implica la adopción de medidas que van más allá del 25 de mayo, dada la responsabilidad proactiva que se exige a la empresa, que debe hacer un seguimiento de las medidas implementadas y actualización de las mismas.