Menos de un año para el Reglamento Europeo de Protección de Datos

Gabeiras y Asociados

El Reglamento Europeo 2016/679 de Protección de Datos, que será de obligatorio cumplimento en un año, a partir del 25 de mayo de 2018, supone un cambio de estrategia en la protección de datos a niveles europeo y español. Entre algunas de sus principales modificaciones se opta, ahora sí, por un sistema de responsabilidad proactiva para el responsable del tratamiento.

Pero la pregunta clave es: ¿qué consecuencias podemos extraer de la aplicación del mismo? En Gabeiras & Asociados llevamos casi un año adaptando las políticas de protección de datos de empresas al nuevo reglamento y ya podemos empezar a extraer las primeras conclusiones.

Como esperábamos, el Reglamento no solamente ha obligado a las empresas a adoptar medidas de seguridad más efectivas para la protección de datos de carácter personal bajo el paraguas del principio de responsabilidad proactiva, mediante el cual, el encargado del tratamiento deberá adoptar los protocolos que estime oportunos, pero que en todo caso sean suficientes para garantizar la integridad y seguridad de los datos. La diferencia con respecto con a la anterior normativa radica en que, esta vez, las medidas deben adaptarse sin tener, directamente, la seguridad de adoptar unos determinados mecanismos preestablecidos por el legislador, como eran el modelo de documento de seguridad o los propios mecanismos del fichero de datos de carácter personal.

No obstante, y aunque la eliminación de estos modelos ha podido causar cierta sensación de inseguridad, la realidad es que, el cambio propuesto por el legislador comunitario ha dotado de mayor flexibilidad a los sistemas de protección, permitiendo adecuarlos de esta manera a los procesos de trabajo de cada empresa concreta.

¿Cómo se realiza la adaptación al Reglamento Europeo? En primer lugar, se ejecuta un proceso de valoración de los datos y las medidas; no se trata de decirte qué puedes o no hacer en tu empresa: ese tiempo, si es que alguna vez existió, hace mucho que terminó. Se trata de adaptar y buscar el equilibrio entre las obligaciones del Reglamento y los procesos de trabajo. Para ello se realiza, en primer lugar, una Due Diligence o auditoria de los sistemas implantados en la empresa, es decir, el experto analiza: (i) la naturaleza y el riesgo de los datos tratados, (ii) el proceso de trabajo y los procedimientos en los que están implicados esos datos y (iii) los sistemas de protección ya adoptados.

Con ello, se elaboran una serie de recomendaciones y de medidas a implementar para poder conjugar los procesos de trabajo de la empresa con los principios y los requisitos del Reglamento que serán, si el cliente lo desea, explicados en una posterior reunión con el encargado del tratamiento de la empresa y con la cúpula directiva, con el fin de que se adapten lo máximo posible a su forma de trabajar y sean conscientes de los riesgos sancionadores (sanciones que puede llegar a los 20 millones de euros) y de los protocolos adoptados para su eliminación.

Para cualquier consulta o aclaración, pueden dirigirse al correo electrónico info@gabeirasyasociados.com

Somos un sólido equipo de abogados, con un alto perfil profesional y profundamente comprometidos con la sociedad y con nuestros clientes