LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 07:51:56

LegalToday

Por y para profesionales del Derecho

Cómo comenzar a adecuarse al Reglamento Europeo de protección de datos

Abogado.
Fundador de Law&Trends
Consultor de Social Media @fbiurrun

El principal objetivo de toda EIPD es reducir los riesgos para la protección de los datos personales Las evaluaciones de impacto en protección de datos para determinadas operaciones resultan obligatorias

En mayo de 2018 todas las empresas europeas deberán estar cumpliendo las obligaciones exigidas por el Reglamento General de Protección de Datos (RGPD). Las exigencias de esta normativa no son pocas y, en ocasiones, su redacción no goza de toda la claridad que fuera deseable. Afortunadamente, se espera que las distintas autoridades nacionales de protección de datos, en España la Agencia Española de Protección de Datos (AEPD), así como el Grupo de Trabajo del Artículo 29 (GT29), realicen una necesaria y valiosísima labor de interpretación y guía respecto a dicho Reglamento, de modo que arrojen algo de luz a las muchas dudas que puede plantearnos el texto actualmente.

Mazo y bandera de UE

Sin embargo, como nos comenta nuestra invitada de hoy, Ruth Benito del despacho Bussola, "existen muchas entidades que no pueden esperar mucho más para empezar a adecuarse a esta nueva normativa, ya que para ellas esta adaptación puede requerir un gran periodo de tiempo, debido a las características de las distintas operaciones de tratamiento que realizan sobre la información que manejan y/o a la naturaleza de ésta".

¿Cómo saber, entonces, qué medidas deben tener implementadas a la fecha de plena efectividad del Reglamento?  "Porque, además, esto es como las señales de límite de velocidad, no es que a partir de la señal uno deba ir frenando hasta llegar al límite, sino que a la misma altura de la señal ya no se puede superar el límite", afirma Ruth Benito.

El propio texto de esta nueva normativa, que recoge como uno de los máximos principios en protección de datos el traducido como responsabilidad proactiva (accountability), nos proporciona las dos herramientas que, bajo el punto de vista de Ruth Benito, son más útiles a estos efectos: a) el principio de privacidad por defecto y desde el diseño y b) las evaluaciones de impacto en protección de datos.

"Las organizaciones que, a día de hoy, ya se encuentren operando llegarán tarde para incorporar a su estrategia -apunta Ruth Benito- y a sus procesos el principio de privacidad por defecto y desde el diseño, salvo que ya lo hubieran hecho (lo que, seamos francos, es más raro que un perro verde). Sin embargo, llevar a cabo un proyecto de evaluación de impacto en la materia les va a simplificar, en enorme medida, la adaptación a la nueva normativa".

Reducir los riesgos

El principal objetivo de toda EIPD es reducir los riesgos para la protección de los datos personales y para otros derechos que puedan verse afectados como consecuencia del tratamiento de los datos de carácter personal. "No obstante, proporciona muchas otras ventajas para cualquier entidad, -nos señala Ruth Benito- tales como un mayor entendimiento de lo que implica la protección de datos, una gestión más eficaz, ayuda a la continuidad del negocio, aumento de la competitividad, mayor conocimiento de la propia organización, optimización de recursos y, además, facilita el cumplimiento de un gran número del resto de obligaciones requeridas por el RGPD".

Las evaluaciones de impacto en protección de datos no sólo son una herramienta muy útil y conveniente, sino que para determinadas operaciones resultan obligatorias. Como nos recuerda Ruth, se trata de aquellas situaciones en que se produzcan:

    a)      Decisiones automatizadas, que originen efectos jurídicos hacia el interesado (persona a quien corresponden los datos personales) o le afecte significativamente.

    b)      Tratamientos a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

    c)       Observación sistemática a gran escala de una zona de acceso público.

    d)      Operaciones que, a criterio de la autoridad de control competente, impliquen un alto riesgo para los derechos de los interesados.

    e)      Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines, implique un alto riesgo para los derechos y libertades de las personas físicas, y en particular si utiliza nuevas tecnologías".

Identificar riesgos

Para nuestra interlocutora, en una EIPD se deben identificar riesgos que se pueden clasificar en las siguientes categorías:

  1. Riesgos de seguridad.
  2. Riesgos derivados de incumplimiento normativo.
  3. Riesgos concernientes a cuestiones éticas y a otros derechos y libertades de los afectados.

"Y cada uno de estos riesgos debe evaluarse en función de su origen, naturaleza, particularidad y de su probabilidad y gravedad para los derechos y libertades de los interesados. Los resultados obtenidos permitirán a la organización saber qué opciones tiene ante cada uno de estos riesgos y decidir qué medida adoptar al respecto para evitar o mitigar los mismos".

Dado el impacto que en la actualidad tiene el tratamiento de la información personal en los derechos y libertades de los individuos y en el desarrollo y evolución de la sociedad, "las EIPD no sólo se configuran como una herramienta muy útil, y en muchas ocasiones obligatoria, para las entidades, sino como uno de los grandes mecanismos que contribuirán a que el manejo de la información se lleve a cabo con el debido respeto a los derechos que constituyen las principales reglas del juego en una sociedad desarrollada y civilizada", concluye Ruth Benito.

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.