Los profesionales de la privacidad en el centro de la reforma de protección de datos


 

 

Nota de prensa

 

Con la aprobación en el Parlamento Europeo del nuevo paquete jurídico de protección de datos tras cuatro años de negociaciones, y la propia publicación del Reglamento General de Protección de Datos, se inicia una revolución regulatoria en la Unión Europea en el que los profesionales de la privacidad jugarán un papel clave. No en vano, entre otras medidas, se introduce la figura legal del Delegado de Protección de Datos (DPO, por su siglas en inglés), que será obligatorio en determinados casos, como en las Administraciones Públicas o en las empresas que monitorizan de forma periódica y sistemática grandes cantidades de datos personales.

Desde la Asociación Profesional Española de Privacidad (APEP) se quiere destacar, por otro lado, como principal virtud de la iniciativa que el Reglamento va a garantizar la circulación de datos en el mercado interior y va a resolver los problemas de incompatibilidades entre las normativas existentes de los diferentes países. Pero, además, es pertinente resaltar que este Reglamento también se aplica en el caso de responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a residentes en la UE o el control de su comportamiento (en la medida en que este control tenga lugar en la UE).

Por primera vez en la historia todos los países de la UE tendrán un único marco normativo, que además estará adaptado al nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la economía digital y una adecuada tutela de este derecho fundamental de los ciudadanos. Según comunicó el Parlamento Europeo, el Reglamento General de Protección de Datos tiene como objetivo “dar más control a los ciudadanos sobre su información privada”. Las nuevas reglas incluyen, entre otros requerimientos, la necesidad de un “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales, la “portabilidad” o el derecho a trasladar los datos a otro proveedor de servicios, el derecho a ser informado si los datos personales han sido pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad, y la posibilidad de ejercer el llamado derecho al “olvido”, mediante la rectificación o supresión de datos personales en internet. Es conveniente mencionar que el nuevo Reglamento aumenta las sanciones de forma muy notable, llegando a multas de hasta el 4% de la facturación global de las empresas.

El Reglamento entró en vigor el 25 de mayo, 20 días después de su publicación en el Diario Oficial de la Unión Europea. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después, el 25 de mayo de 2018.

+

El creciente protagonismo de los profesionales en privacidad

Para APEP el Reglamento supone un desarrollo destacado de la cultura de la privacidad en el ámbito económico y social, exigiendo nuevas obligaciones y responsabilidades a Administración y empresas. Los preceptos de protección de datos deberán integrarse desde el principio en cualquier proyecto, producto o servicio que requiera gestión de datos personales (privacidad por diseño), con la obligación añadida de que en su configuración automática por defecto sólo recopile y gestione aquellos datos que sean estrictamente necesarios (privacidad por defecto). Además, en determinados casos, los responsables deberán evaluar con carácter previo los procedimientos de tratamiento de datos personales para evitar posibles riesgos (Data Protection Impact Assessment, DPIA). Otro elemento muy destacable de la reforma es que introduce el concepto de accountability, que implica que no sólo existe responsabilidad por una infracción, sino que la no adopción de todas las medidas requeridas para el perfecto cumplimiento normativo, o falta de diligencia, supone también una responsabilidad punible.

APEP quiere destacar que los profesionales de la privacidad se encuentran en el centro de la reforma de la protección de datos, al asumir nuevas responsabilidades y exigírseles todavía más rigor en el desarrollo de metodologías de cumplimiento normativo. De este modo se les requerirán nuevas competencias, mayor formación y su acreditación de especialización a través de certificaciones confiables. De este modo, cabe reseñar que la norma introduce la figura del DPO, que será obligatorio para la Administración y para empresas que cumplan una serie de requisitos, fundamentalmente, que realicen una monitorización periódica y sistemática de datos a gran escala (estudios de solvencia, mercados, riesgos…) o gestionen datos de categorías especiales (datos considerados sensibles). APEP venía destacando desde hace años, tanto a nivel nacional como europeo (siendo miembro fundador de la Confederation of European Data Protection Organisations-CEDPO) la utilidad de esta figura del DPO en aras de una mejor gestión de la protección de datos y la privacidad en las organizaciones y del respeto al derecho fundamental. Y también para promover la integración y toma en consideración de la privacidad como valor añadido de las empresas en un mercado global competitivo.

Pero, la Asociación reclama a las instituciones que definan de la forma más concreta posible la figura del DPO, garantizando que estos profesionales tengan una formación y conocimientos adecuados y puedan ser identificados fácilmente. Para este particular APEP ya trabaja para formar y acreditar a los profesionales expertos en privacidad en España, a través de su rigurosa y transparente Certificación APEP ACP (APEP-CertifiedPrivacy) y sus cursos de formación especializada, que a su vez sirven para conseguir la Certificación APEP ACP. Parece oportuno destacar en este sentido que la Asociación considera esencial la figura del profesional experto en privacidad y protección de datos, también, para dar garantía, confianza y seguridad en el mercado.

“El DPO constituirá una figura esencial, un apoyo indispensable para el despliegue de una futura Norma particularmente complicada. Su deber consistirá sin duda en asegurar el cumplimiento normativo diligente, y por tanto accountable, de los responsables haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos del negocio, y la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Por otra parte, y sin duda será el interlocutor necesario con el regulador, con la Agencia Española de Protección de Datos, y el colaborador que sin duda la institución necesita”, comenta Ricard Martínez, presidente de la APEP.

+

Información complementaria:

Otra información relacionada: