25 de mayo, un punto y seguido en la protección de datos

Están los días contados para que entre en vigor la nueva normativa europea en materia de protección de datos . Esta normativa, que fue publicada hace ya casi dos años, está obligando a la mayoría de empresas a hacer un esfuerzo muy importante para adecuar sus procesos operativos, sus sistemas de información y sus modelos organizativos a los requerimientos del nuevo Reglamento.

Sin embargo el 25 de mayo no es la meta , es tan solo un punto y seguido. Y esto es así porque el nuevo reglamento habla de aspectos como la transparencia, la responsabilidad proactiva o la necesidad de demostrar el adecuado cumplimiento permanente, por lo que dicha fecha no supone más que un punto de partida para iniciar el camino de cumplimiento.

Uno de los principales vértices en los que pivota el nuevo reglamento es que los tratamientos de datos personales realizados por las compañías deben ser proporcionales a su finalidad, habiendo informado y obtenido el consentimiento de manera clara y explícita de los interesados. El espíritu de esta normativa europea es el de regular y poner pautas en los tratamientos sobre los datos de las personas físicas , poniendo a los individuos y su derecho a la privacidad por delante de cualquier otra finalidad. Es un mensaje a las compañías en el que deja entrever que se pueden hacer tratamientos de datos personales, y utilizar las tecnologías más novedosas, siempre y cuando se hayan definido y puesto en práctica las medidas suficientes para garantizar la seguridad y protección de dichos tratamientos.

En los últimos años las técnicas de tratamiento y analítica de datos, así como su correlación con el fin de ofrecer servicios cada vez más personalizados , han crecido de manera exponencial. Si bien suponen una ventaja competitiva para las empresas que han sabido diseñarlos y ponerlos en práctica, si estos no dan la importancia que se merece a la privacidad, podrían volverse en su contra. Venimos observando una tendencia en los últimos meses a darle mayor importancia a la privacidad y a que si determinadas acciones comerciales son entendidas como desproporcionadas, o excesivamente personalizadas sin haberse solicitado, pueden provocar un efecto de rechazo en el consumidor.

Hay que señalar también que el nuevo reglamento requiere un enfoque más tradicional de gestión de riesgos, en contraposición al Real Decreto anterior que requería controles concretos en función de los datos personales que trataban las empresas. Esto ha hecho que muchas empresas que no estaban acostumbradas a realizar enfoques de este estilo estén sufriendo retrasos en la implantación de las medidas. La definición de los controles a implantar requiere de un arduo trabajo de identificación de los tratamientos, requiere realizar un análisis de riesgos para los interesados y en aquellos casos en que éstos salgan como de nivel alto, es necesaria la realización de los ya famosos Privacy Impact Assessments (conocidos coloquialmente como los PIAS). De estos PIAS se desprenden, a su vez, los riesgos que quieren asumir las compañías por tratar ciertos datos de una manera concreta y los impactos que estos tratamientos podrían provocarles. A partir de este enfoque se diseñan los planes de acción para alcanzar el cumplimiento y las medidas de seguridad técnicas y organizativas que se deben adoptar.

Finalmente no nos podíamos olvidar del Delegado de Protección de Datos (DPD, o DPO en sus siglas en inglés) que muchas compañías tendrán que nombrar e integrar en su organigrama . Su principal labor será velar porque todas estas acciones que hemos mencionado se estén llevando a cabo y garantizar que las compañías están trabajando en gestionar adecuadamente los riesgos de privacidad. Esta figura, que puede ser interna o externa a la empresa, adquiere la relevancia suficiente como para poner todo este ciclo de cumplimiento en marcha, asegurando y demostrando la responsabilidad proactiva exigida a su compañía. Por lo que estamos viendo en nuestro país, la mayoría de las grandes empresas, no solo están optando porque sea una figura interna sino que la están dotando de recursos, tanto humanos como presupuestarios suficientes, para que pueda realizar la función de velar por el cumplimiento de la nueva normativa de protección de datos.