El nuevo Reglamento de protección de datos busca mayor autorregulación de las empresas

Juan Zabía de la Mata, abogado de Zabía Abogados, alertó durante el Foro Adecose celebrado en Madrid, sobre la importancia de ir adaptando los procesos de las corredurías al nuevo Reglamento de protección de datos cuanto antes. Si bien este nuevo reglamento entró en vigor ya en 2016, no es de obligada aplicación hasta el 25 de mayo de 2018, pero la complejidad de esta normativa “hija de 27 padres” hace que su lectura sea confusa y su interpretación práctica compleja. Por este motivo Zabía recomienda ir analizándola poco a poco para que “nos pille el toro”, a la espera de la Ley Orgánica que nos ayude en su interpretación. 

Novedades del Reglamento

Entre las principales novedades del Reglamento Europeo 2016/679, Juan Zabía se centró sobre todo en el Art. 7 relativo al consentimiento. De hecho, “el 99% de las denuncias de mediadores ante la Agencia de Protección de Datos se deben a la contratación de pólizas sin el consentimiento inequívoco de los afectados”. Las novedades en esta cuestión respecto al reglamento de 2007 es que el consentimiento que se debe otorgar tanto para la recepción de los datos como para su utilización comercial debe ser inequívoco, libre, específico e informado. Tiene que ser un consentimiento por escrito -o medios telemáticos- o verbal -pero grabado-. El silencio, las casillas marcadas previamente o la inacción “no constituyen un consentimiento inequívoco”.

Por otro lado, Zabía recuerda que “la buena política de protección de datos pasa por la información y el consentimiento”, visto a lo que el Reglamento se refiere con el consentimiento, a la información hace referencia en el Art. 13. La información debe ser clara y concisa. El abogado se mostró especialmente crítico con este punto ya que el reglamento incluye 12 puntos en los que se basaría una buena información. “12 puntos en los que basarse no parece ser demasiado conciso”, dice. Y propone simplificarlo en tan solo 2 puntos: identificar al responsable de tratar los datos e informar para qué se van a utilizar esos datos. En el caso de una póliza parece suficiente informar sobre estos dos puntos y remitir, por ejemplo, a una web, donde se dé el resto de la información, propone Zabía. Esta sugerencia ya se está trasladando a la Agencia de Protección de Datos. “Creo que sería una propuesta sensata”, dice.

Una tercera novedad especialmente importante del nuevo Reglamente respecto al de 2007 es la obligación de notificar a la autoridad de control y a los interesados cualquier violación de seguridad que se produzca. Se debe notificar en menos de 72 horas la Agencia de Protección de Datos y a los interesados siempre y cuando “se produzca un riesgo importante de sus derechos y libertades”.

En cuarto lugar, el Reglamento contempla la desaparición de la obligación de notificación de ficheros a la Agencia de Protección de Datos. Por un lado, se simplifican los procesos, aunque en realidad “esta obligación no desaparece del todo”. Se substituye por documentación interna que en caso de auditoría la Agencia solicitaría a la compañía en ese momento.

Evaluación de impacto y creación de un DPO

Estas dos novedades quizá no sean de estricta aplicación para empresas del tipo de las corredurías, pero sí se perfilan como básicas en las grandes empresas -compañías de seguros, empresas de telefonía o entidades financieras-. 

La evaluación del impacto debe realizarse siempre que vayamos a realizar una práctica susceptible de riesgo y será necesaria siempre que se manipulen datos calificados de ‘alto riesgo’, si se tratan datos a gran escala o si trabajamos elaborando perfiles. “La evaluación del impacto debe hacerse con rigor”, nos dice Juan Zubía.

En cuanto a la figura del DPO -Data Protección Officer o Delegado de Protección de Datos-, se presume como figura fundamental en grandes organizaciones. Entre sus funciones está informar y asesorar a los responsables de protección de datos de la compañía, supervisar, asesorar en la evaluación del impacto y revisar su aplicación, intervenir en casos de violaciones de seguridad, y cooperar con las autoridades de control.

Lu figura del DPO será seguro objeto de debate en los próximos años ya que puede aportar grandes ventajas a las compañías que decidan apostar por esta figura. Para Juan Zabía, el DPO podría actuar como un intermediario entre los clientes y la Agencia, de tal forma que muchas reclamaciones podrían encontrar solución sin necesidad de interponer denuncia. “Puede ser una buena ayuda a la hora de resolver conflictos y reclamaciones”, concluye. “Puede filtrar quejas y evitar conflictos”.

En resumen, el nuevo reglamento se muestra más proactivo que su antecesor y anima a las empresas a dar el primer paso a la hora de proteger los datos. Hasta ahora parecía que la Agencia de Protección de Datos sólo era un mecanismo sancionador. Con la aplicación de la nueva normativa se busca mayor autorregulación de las empresas en esta materia.

Transformación digital: amenaza u oportunidad

El segundo ponente de la jornada, Alberto Díaz, habló sobre la transformación digital de las empresas. Para Díaz “la transformación digital no es un reto tecnológico, es un reto de gestión” que tiene por objetivo “aumentar la productividad de la empresa y la valoración de la misma utilizando las herramientas digitales que tenemos a nuestra disposición”.  No se trata sólo de utilizar la tecnología, ni nuevas herramientas, sino que se trata de hacer un cambio más profundo en las empresas y ver la transformación digital “no como un objetivo de la empresa, sino como una estrategia”. Es decir, no se trata de que las empresas sean digitales. Eso ya es “normal”. De lo que se trata es de gestionar de otra manera y de ser capaces de entender en qué nuevo entorno nos estamos moviendo. Para Alberto Díaz los clientes han cambiado y la obligación de la empresa es adaptarse a esos cambios. “el modelo de negocio ha cambiado, la organización también tiene que cambiar”. No podemos mantener una organización con las mismas estructuras que se tenía antaño. No podemos mantener los organigramas tradicionales.

Díaz anima a copiar los modelos de las start up en los que el modelo de gestión es diferente. La rapidez es la clave. No podemos ya funcionar de forma lineal. La evolución de la tecnología es de forma exponencial y a eso deben adaptarse las compañías. Por ejemplo, no podemos tardar 2 años en poner en marcha un proyecto hasta que lo tenemos “perfecto”, estamos en la era de la “prueba y el error”, tenemos que lanzar al mercado pruebas que ya iremos perfeccionando. Un proyecto que tarde más de 6 meses en salir al mercado ya va tarde. Otra compañía lo sacará antes.