Los colegios de abogados deberán contar con un delegado de protección de datos
Cuenta atrás para la aplicación del reglamento europeo de protección de datos (RGPD) El Foro Asesores Wolters Kluwer analizó las claves del nuevo reglamento para abogados y asesorías fiscales
Los colegios profesionales, como los de abogados, deberán contar con un delegado de protección de datos o DPO, que es como se conoce por sus siglas en inglés (Data Protection Officer).
Así lo puso de manifiesto Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en el marco de la 23ª edición del Foro Asesores Wolters Kluwer, celebrado esta semana en Madrid. En su ponencia, Mar España repasó las claves del nuevo reglamento europeo de protección de datos (RGPD), que empezará a aplicarse el próximo 25 de mayo de 2018, y su impacto en la normativa española.
Subrayó que solo quedan ocho meses para que empresas, organismos públicos y profesionales se pongan al día con las obligaciones que impone la nueva normativa, en especial en lo que se refiere al nombramiento del delegado de protección de datos. Una figura clave en el nuevo modelo y obligatoria en el caso de organismos públicos o empresas que realizan tratamiento de datos personales a gran escala, o para realizar perfilados de clientes.
Mar España adelantó que en cuestión de semanas comenzará la tramitación parlamentaria de la nueva ley de protección de datos, que previsiblemente establecerá unos ejemplos indicativos de empresas que deben tener delegado de protección de datos, como, por ejemplo, los colegios profesionales o consejos generales.
Aunque no existe obligación legal, la directora de la AEPD consideró altamente beneficioso que los despachos de abogados o las asesorías fiscales pudieran hacer, con fórmulas piramidales, un análisis de riesgo y contratar a un delegado de protección de datos.
Una de las ideas fundamentales o concepto clave que destacó Mar España del nuevo reglamento es el de responsabilidad proactiva, que implica poner en manos de las empresas y organizaciones las concretas medidas de prevención a adoptar de entre las que el reglamento recoge.
Si bien dijo echar de menos unas medidas de seguridad tasadas, aclaró que ahora serán las empresas, en función del análisis de riesgo, las que decidan qué tipo de medida tomar. Una responsabilidad activa sobre la que subyace el convencimiento de que actuar solo cuando ya se ha producido una infracción puede resultar insuficiente como estrategia, al poder causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.
La nueva normativa introduce un cambio radical en cuanto a las posibles sanciones económicas: se pasa de los teóricos 600.000 euros máximos a una horquilla que va desde los 10 a los 20 millones. Aunque la peor consecuencia de no preservarla privacidad de los clientes puede ser la destrucción de la reputación dela empresa.
Facilitar el cumplimiento
Mar España quiso resumir las actuaciones que la agencia está llevando a cabo para ayudar a las pequeñas y medianas empresas a adaptarse a las obligaciones. Destacó la publicación de guías y la puesta a disposición de una herramienta innovadora y única en el territorio de la UE, Facilita RGPD. Se trata de una aplicación para organizaciones que solo realizan tratamiento de datos básicos y testada con Cepyme, que genera en tan solo diez minutos, y tras cumplimentar un sencillo cuestionario confidencial, una serie de documentos de cumplimiento adaptados al negocio, como, por ejemplo, la cláusula informativa, recomendaciones básicas, etcétera.
También anunció la puesta en marcha de la Unidad de Atención al Responsable del Tratamiento, que contará con solo dos personas, algo insuficiente para estos comienzos dado el volumen de consultas.