Mayo, el punto de inflexión en la protección de datos
Como quien espera el final de una carrera, se está echando encima la fecha de entrada en vigor del nuevo Reglamento Europeo de Protección de Datos. El día que lo cambia todo es el próximo 25 de mayo.
Sin embargo, hay que matizar que no será el final de una carrera, sino el inicio de todo un viaje. Será a partir de este momento cuando de verdad las empresas deberán gestionar de forma continuada, permanente y con la obligación de documentar y probar que así lo hacen, que están cumpliendo con todas las obligaciones de protección de datos establecidas en la normativa.
Resulta imprescindible decir que el Reglamento General de Protección de Datos solo va a ser una estación más en este viaje de la implantación de un sistema de protección de datos en las empresas y organizaciones. De hecho, ya está pendiente de aprobación y posterior promulgación la nueva Ley Orgánica de Protección de Datos, que no tardará demasiado, y vendrá a matizar y concretar numerosos aspectos del Reglamento Europeo.
Lo realmente importante del sistema de protección de datos que toda empresa, organización y profesional independiente deberá asumir a partir de ahora es la necesidad de integrar la protección de datos dentro de su filosofía empresarial. Ya no valdrán los procesos estancos y aislados en este sentido, sino que la correcta custodia de datos personales de clientes, impregnará absolutamente todos los procedimientos internos, ya que así lo va a requerir la normativa que viene.
Ya no valdrá con que la empresa u organización aplique unos determinados formularios más o menos extensos para recabar los datos de sus clientes. Tampoco será suficiente con poner una cláusula tipo, al final de un formulario, o se añada un enlace a una política de privacidad en una web. Ahora se deberá ser mucho más concienzudo en la elaboración de dichos textos legales porque la obtención de consentimiento va a quedar sujeta a mayores matizaciones que hasta ahora. Especialmente cuando se recaban datos de menores o de categorías especiales como pueden ser los relacionados con la salud o la información biométrica, por poner algunos ejemplos.
Así mismo, ya no servirá que una vez al año venga alguien a mi empresa y me revise la documentación para decirme que está todo bien o que lo haga una persona interna de la plantilla. A partir del 25 de mayo habrá muchos casos en los que deberemos realizar una evaluación de impacto, analizando la posible repercusión del tratamiento de información sensible a los derechos y libertades de las personas, debiendo fundamentarlo, documentarlo y, por supuesto, definir las medidas de seguridad que deberemos implementar.
También tendremos que realizar análisis de riesgos de los tratamientos de datos que llevamos a cabo, valorando y documentando igualmente las amenazas, vulnerabilidades y riesgos que existen sobre la información con la que trabajamos y los procesos aplicados, debiendo igualmente establecer qué medidas de seguridad fijaremos.
Además, ya no será suficiente con alegar que hemos implementado las recomendaciones de seguridad que proponía la norma en base a un catálogo basado en los niveles de datos. A partir de ahora nadie nos va a decir qué medidas deben aplicarse. Seremos nosotros los que tendremos que definirlas en función de los riesgos y documentar esa fundamentación, además de acreditarla si se nos pidiese por qué se adoptaron.
Asimismo, será requisito indispensable tener en cuenta más derechos que los hasta ahora existentes como, por ejemplo, los famosos derechos ARCO (acceso, rectificación, cancelación y oposición), así como derechos tan importantes y a la vez tan indeterminados tecnológicamente como el derecho al olvido.
Es más, quizás resultemos obligados a contar con la figura de un Delegado de Protección de Datos en la organización, interno o externo. Y esto es tan solo un detalle no exhaustivo de las nuevas obligaciones a cumplir.
Como se puede observar el cambio podemos calificarlo de radical, sobre todo, como decía, en la perspectiva de la gestión, más centrada ahora en la supervisión continua que en el cumplimiento formal. Todo ello, conlleva casi de manera obligada, a que toda empresa u organización cuente con expertos en protección de datos que, no solo se encarguen de realizar la adaptación de su empresa a la normativa, la implantación de los protocolos, procedimientos y supervisión de la implementación de las medidas de seguridad, sino que además, sean capaces de atender permanentemente, desde una profesionalidad y experiencia acreditada, todas aquellas cuestiones, circunstancias y situaciones que al cliente se le puedan presentar en el día a día.