Desde el mes de mayo del pasado año se vive un periodo de transición que afecta a la Consultoría de protección de datos y que durará hasta mayo del 2018, en que la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) será efectiva.
Un plazo que parece suficiente para aquellas empresas y entidades que venían cumpliendo la LOPD y LSSICE y que tan solo habrán de realizar los reajustes necesarios para ajustarse a la nueva normativa, pero que para aquellas que siguen ignorando el Derecho de Nuevas Tecnologías y el bien jurídico que protege, puede suponer una lucha a contrarreloj e importantes problemas.
Principales novedades
La principal característica del nuevo Reglamento europeo es la de su inmediata y directa aplicación a partir de la fecha indicada, sin necesidad de desarrollos legislativos adicionales por parte de los países miembros ni normativas de transposición.
A partir de aquí, se abren dos grandes líneas de cambios:
Principio de responsabilidad proactiva
?Este principio supone que las entidades y empresas no deben solo cumplir con los aspectos formales a posteriori, sino que deben demostrar una actividad orientada a la protección efectiva de los datos desde el mismo momento en que se comienza a diseñar un nuevo producto o servicio que pueda suponer trabajar con datos de carácter personal, lo que se ha venido a definir como la protección de datos desde el diseño o privacy by design.
En la práctica esto supone que las empresas han de incorporar, antes del propio lanzamiento del producto o servicio, aquellos planes, políticas, sistemas y medidas de protección de los datos a manejar, durante todo el ciclo de vida del mismo, centradas en garantizar su correcto uso, la seguridad de los datos tratados, la confidencialidad y su total eliminación cuando ya no sean necesarios o a petición del interesado.
Enfoque del riesgo
Se presenta aquí una clara modulación en la aplicación de las medidas que propone el Reglamento en atención al tipo de datos que se almacenen y traten, diferenciando los mismos por el riesgo o gravedad que pueda suponer su tratamiento.
Del mismo modo, este principio atiende a aspectos como la magnitud de los datos tratados, ya que no supone el mismo riesgo el tratamiento de grandes volúmenes de datos de forma masiva que los datos almacenado y tratados por pequeñas empresas en ficheros con contenidos de información más genérica o menos comprometida de clientes y proveedores.
Se atiende así tanto a la cantidad como a la calidad de los datos tratados con un claro objetivo que no es otro que el de establecer el doble criterio de:
– Manejar el volumen de datos imprescindibles para el correcto funcionamiento del negocio y actividad
– Recabar solo la información absolutamente necesaria de cada individuo
La figura del delegado
Aunque son muchos más las novedades que introduce el reglamento, se ha de destacar esta figura por lo que supone de diferenciación sobre la ya conocida del responsable.
Mientras que en la reglamentación actual el responsable es una persona designada sin una dedicación plena ni conocimientos específicos en materia de protección de datos, la nueva figura del delegado hace que sea este una persona con formación específica y una dedicación exclusiva.
No se exige certificación para ser DPD pero que para su nombramiento se tendrá en cuenta sus conocimientos y su experiencia en materia de protección de datos.
