El nuevo rol de las organizaciones en la protección de datos
No se trata de cumplir con la norma sino de tomar conciencia de la importancia de los datos de las personas y de sus tratamientos y de la necesidad de protegerlos.
Desde hace ya más de seis meses es de plena aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de datos), si bien el Estado Español no aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales hasta el 6 de diciembre de este año, derogando el Real Decreto-Ley 5/2018 de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
Sobre el Reglamento ya se ha escrito mucho, pero insistir en la responsabilidad proactiva no está de más, pues todos hemos podido comprobar que seguimos más pendientes de tener una clausula adaptada de cara a la galería que entender la nueva normativa y lo que está requiriendo.
Hasta que no comience la Agencia de Protección de Datos a desplegar sus funciones y competencias en la materia lo único seguro que pueden hacer los responsables de tratamiento sin temor a equivocarse es cambiar su rol, su forma de cumplir con esta materia a cambiado de arriba a abajo.
Y es que, desde mi punto de vista, para cumplir con la normativa la protección de datos en las organizaciones no debe hacerse una mera adaptación sino una verdadera revolución.
Revolución porque no se trata de cumplir con la norma sino de tomar conciencia de la importancia de los datos de las personas y de sus tratamientos y de la necesidad de protegerlos. Es de vital importancia que todos aquellos que trabajamos en esta materia sepamos transmitir el nuevo rol que asumen las organizaciones como responsables de tratamiento.
La proactividad o la autorresponsabilidad no son conceptos que casen bien con la forma de trabajar de las organizaciones en el pasado, o de la mayoría de ellas. Sobre todo en las pyme, la proactividad o autorresponsabilidad parece que las obliga a una mayor burocracia y no es así a la larga, pero sí que supone una nueva forma de cumplir con las normas. La proactividad exige evidenciar las medidas que se adoptan para la protección de los datos, que es lo que a la postre nos requerirá la Autoridad de Control.
Hemos podido comprobar todos en estos meses cómo cada organización establece su forma de cumplir con el Reglamento, algunas con más acierto que otras. No obstante, sin duda, mejor actuar y ser proactivo que no hacer nada.
Imposible demostrar la proactividad del responsable de tratamiento si continuamos poniendo en nuestra página web algo similiar a “… con arreglo a lo estipulado en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de aplicación (RD 1720/2007, de 21 de diciembre), los usuarios pueden ejercitar, en cualquier momento, los derechos de acceso, rectificación, cancelación u oposición, mediante escrito dirigido a ……………………..”.
Sin embargo, aún son muchas las organizaciones que mantienen estas cláusulas o similares. Y otras que simplemente han actualizado las normas de aplicación de sus clausulados pero siguen igual.
Por no hablar de las Administraciones Públicas y organismos públicos a los que el Reglamento aplica tanto como al ámbito privado y con el agravante, porque así lo ha querido el Estado Español, de no asumir sanciones pecuniarias.
Cumplir o mejor dicho, intentar cumplir con la norma, no tiene porqué ser complicado, pero la actitud ante la adaptación sí que debe cambiar.
Desde mi punto de vista quien externaliza la adaptación no debe pensar que otro con más conocimiento que él se lo hará mejor y después ya está. Y si contrata a un buen profesional éste deberá transmitir al responsable de tratamiento que la adaptación no es un trabajo que comienza cuando entra el por la puerta y termina con la entrega de una documentación, sino que debe calar en toda la organización la protección de los datos y debe mantenerse viva esta implicación en la materia.
La Agencia Española de Protección de Datos, que por supuesto, predica con el ejemplo y sí que se ha adaptado (faltaría más), insiste continuamente en decir que no es necesario un profesional para hacer la adaptación y pone a disposición de las organizaciones las suficientes herramientas para proteger los datos y cumplir con la norma, invitando a las pymes a do it yourself.
Invito a todos a comprobar la cantidad de herramientas y guías que proporciona la Agencia de Protección de datos y a familiarizarse con ellas.
Sin embargo, pese a las buenas intenciones de la Agencia Española de Protección de Datos, creo que precisamente las pymes son las que más necesitan la colaboración de un profesional externo que les explique la norma y lo que la norma les pide, dándoles ese primer empujón para que puedan comenzar con ese nuevo rol.
Olga Guidotti, abogada en VACIERO
Pincha aquí para conocer todas las novedades de la nueva LOPD.