RGPD:Los expertos aconsejan "blindarse" ante los riesgos de la nueva protección de datos

data protection


El Reglamento cambia el paradigma: de la lista de obligaciones a la 'auto-responsabilidad'

El Reglamento General de Protección de Datos (RGPD) cambia el paradigma en materia de privacidad. Del tradicional listado de obligaciones que la empresa simplemente debe comprobar que cumple, se pasa al criterio de la auto-responsabilidad. Así, el responsable del tratamiento de datos deberá analizar qué tipo de datos y procesos lleva a cabo para, en consecuencia, adoptar las medidas de seguridad necesarias.

Debe partirse de la base de que tengo que hacer una evaluación de impacto necesaria solo cuando hay una probabilidad de alto riesgo para los derechos y libertades de los interesados-, y si no la hago, lo voy a justificar. Es muy importante blindarse ante posibles situaciones de riesgo", recomienda Joaquín Castillón, de EY.

El notable incremento de las sanciones -hasta 20 millones de euros o un 4 por ciento del volumen anual del negocio- es, sin duda, un gran acicate para las compañías para implementar las nuevas exigencias.

A la incertidumbre que genera el nuevo modelo, basado en la auto evaluación, hay que añadir el gran número de conceptos indeterminados que contiene el RGDP y que, de momento, siguen sin definir por parte de las autoridades de protección de datos.

Rodrigo González Ruiz, del Departamento de Mercantil de EY, apunta también a la relevancia de determinar la autoridad supervisora principal. "A esto no se le está prestando mucha atención y es muy relevante. En algunos proyectos nos hemos guiado por lo que decía la Agencia Española de Protección de Datos (AEPD) y después hemos tenido que rehacerlo porque la autoridad principal era la francesa", explica.

Otro de los elementos que más polémica están generando es el consentimiento. González Ruiz subraya que a partir de mayo de 2018 todos los consentimientos tácitos o que no se hayan obtenido conforme a lo dispuesto en el Reglamento no serán válidos. "¿Qué podemos hacer si queremos que lo sean? Arriesgarnos a que exista forzadamente un interés legítimo", asevera.

Otras dos novedades que generarán dificultades son los nuevos derechos al olvido y a la portabilidad. Además, la nueva configuración del derecho de información obliga a modificar las cláusulas en las que se comunica al interesado el tratamiento de datos.

La AEPD ha optado por un modelo de información por capas: en una primera se ofrecen los datos básicos del tratamiento, con la opción de pasar a una segunda capa en la que se da información detallada sobre el mismo....LEER NOTICIA COMPLETA.