Miércoles, 29 Marzo 2017

Accountability o cómo el mero cumplimiento no va resultar suficiente en materia de protección de datos

VolverTal y como avanzamos en nuestro artículo publicado el mes pasado, con el nuevo escenario que plantea el inminente Reglamento Europeo de Protección de datos - cuyo comienzo de aplicación está previsto para el 25 de mayo de 2018- las empresas deben hallarse preparadas para estar en disposición de dar respuesta a las nuevas obligaciones que plantea dicha normativa comunitaria, a la vez que seguir cumpliendo con la normativa actual española.

Habida cuenta que la aplicación de muchos de los nuevos requerimientos, precisan de tiempo y planificación, desde el Departamento de Derecho Mercantil de Belzuz Abogados nos hallamos inmersos en esta labor de concienciación de cara que nuestros clientes inicien, cuanto antes, dicha preparación, en lo que se refiere al diseño e implementación de una estrategia de protección de datos de carácter personal de su organización, para afrontar con éxito los nuevos retos.

En este punto debemos ya advertir, que la principal implicación que va a suponer para las empresas este proceso de adaptación a la nueva normativa las empresas es un significativo cambio de enfoque.

En otras palabras, vamos a ser testigos directos de una evolución del actual modelo, en el que se exigía a las entidades un mero cumplimiento de una serie de obligaciones en materia de protección de datos, a un modelo radicalmente distinto basado en la gestión y análisis del riesgo. Pasamos pues, a una legislación, en la cual las empresas deben poder acreditar dicho cumplimiento y además tratar de evitar el daño. Desde la perspectiva del nuevo Reglamento, se pretende prevenir y controlar la información, identificando los focos de riesgo y eligiendo las medidas adecuadas para mitigarlo, labores que va a corresponder realizar a las propias empresas, y no como hasta ahora a la Administración.

Todo ello lo va a exigir es un enfoque proactivo y de mayor responsabilidad activa, surgiendo el concepto de “accountability empresarial”, término que va más allá de una simple responsabilidad o rendición de cuentas. En la práctica se trata de adoptar o implementar medidas dirigidas tanto al cumplimiento como de responder por dichas medidas, ante las partes interesadas, incluyendo en este abanico, entre otras, a autoridades reguladoras, judiciales, socios, accionistas o titulares de los datos personales que son objeto de tratamiento.

A partir de ahora, con el referido término con el que encabezamos este artículo, toda organización sujeta al reglamento estará obligada a acreditar que ha evaluado, y en caso necesario, rediseñado adecuadamente sus tratamientos de datos personales. Del mismo modo deberá acreditar que las medidas de seguridad implementadas son adecuadas y eficaces, aplicando una política interna en materia de privacidad con obligaciones claras y acciones concretas relacionadas con cada una de dichas obligaciones.

La pregunta obligada que surge tras esta premisa, es cómo se va a poder lograr la acreditación de dicho cumplimiento y con qué mecanismos cuentan las empresas para ello. Sobre este particular, la voluntad del legislador europeo es proponer una serie de herramientas que ayudarán tanto al responsable-titular de los datos como al encargado del tratamiento a los efectos de garantizar una rendición de cuentas eficaz. En este punto, debemos destacar, de entre ellas, las siguientes:

- La designación de un delegado de protección de datos personales, figura que resultará obligatoria en determinados supuestos, y que deberá contar con conocimientos jurídicos y experiencia en la materia de protección de datos, siendo sus funciones más importantes las de asesoría, la supervisión y la prevención de las operaciones de tratamiento y sus respectivas auditorías

-Los principios de protección de datos desde el diseño y por defecto, esto es, la obligación de las empresas de tener en cuenta la protección de datos desde el momento del diseño de sus procedimientos, productos y servicios (privacy by design) y que, por defecto, solo sean objeto de tratamiento los datos personales mínimos que sean necesarios para alcanzar el fin legítimo perseguido (privacy by default).

- La documentación de todos los tratamientos, en virtud del cual el responsable o el encargado del tratamiento deberá mantener registros de las actividades de tratamiento, cooperando con las autoridades de control, y poniendo a disposición de las mismas -bajo previa solicitud-, dichos registros.

-La evaluación del impacto relativa a la protección de datos, prevista para aquellos supuestos en que las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades de las personas físicas, casos en los que el responsable del tratamiento deberá realizar dicha evaluación relativa a la protección de datos que permitirá evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

-Los códigos de conducta, los cuales establecerán marcos específicos de tratamientos en determinados sectores de actividad, de manera que los responsables y los encargados del tratamiento podrán contar con guías prácticas, que les facilitarán el cumplimiento de sus obligaciones, garantizando los derechos de las personas.

-Las certificaciones y los sellos de calidad, que permitirán a las personas evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios que serán ofrecidos por parte del responsable y del encargado del tratamiento, mecanismos que se convertirán no sólo en una referencia, sino también en un elemento de distinción que promoverá la competitividad.

-En lo que se refiere a las transferencias de datos fuera de la Unión Europea, y en ausencia de una decisión por la cual se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deberá tomar medidas para compensar la falta de protección de datos en un tercer país, mediante garantías como las normas corporativas vinculantes o las cláusulas tipo de protección de datos adoptadas por la Comisión Europea o por una autoridad de control.

Habida cuenta el calado y enorme trascendencia del mencionado cambio legislativo, desde el Departamento de Derecho Mercantil de Belzuz Abogados como abogados especialistas tanto en materia de protección de datos como en seguridad de la red, nos hallamos a disposición de todos nuestros clientes a los efectos de clarificar y detallar todos aquellos aspectos concretos del nuevo reglamento, instando desde este canal de comunicación a trabajar desde ya, en la adaptación de los procedimientos operativos para dar respuesta los nuevos requerimientos impuestos por el legislador comunitario.

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa