Laura Aznar, abogada de Corporate Compliance y de Protección de Datos en Bonet Abogados.

 Es cierto que el Reglamento de Protección de datos, que entrará en vigor el cercano mes de mayo supone una mayor responsabilidad en las organizaciones (públicas y privadas), pero ello no implicará necesariamente una mayor carga de trabajo para las empresas ni sus directivos.

En muchos de los casos será sólo una forma distinta de gestionar la protección de datos ya implementada, puesto que el Reglamento constituye únicamente la formalización de prácticas ya muy extendidas en empresas como puede ser la evaluación del impacto de la protección de datos, la exigencia de la figura de un delegado de protección de datos, etc.

Las medidas que se deben formalizar o implementar de manera obligatoria para mayo de 2018 son en esencia, las siguientes:

  1. Toda organización debe designar un oficial de protección de datos ya sean grandes empresas, Pymes u organizaciones públicas.
  2. Cualquier organización deberá realizar un análisis de riesgos de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser operaciones muy simples en entidades   que no llevan a cabo más que unos pocos tratamientos, que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por su actividad        requieran una valoración cuidadosa de sus riesgos.

La Agencia de Protección de Datos, está trabajando en el desarrollo de herramientas que faciliten esta valoración de riesgos y recomendaciones sobre la aplicación de medidas, especialmente para pymes y los tratamientos más habituales de la gestión empresarial.

  1. Otra de las bases fundamentales será el consentimiento, el Reglamento requiere que el consentimiento sea libre, informado, específico e inequívoco, por tanto, habrá que tener en cuenta que el consentimiento será verificableante una auditoría en tanto en cuanto la empresa deberá ser capaz de demostrar que el afectado otorgó su consentimiento, no pudiendo deducirse de la inacción de los ciudadanos o del silencio.
  2. Las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán haber diseñado los procedimientospara  notificar adecuadamente a las autoridadesde protección de datos o a los interesados de las mismas quiebras de seguridad que pudieran producirse en el tratamiento de datos.
  3. Deberán facilitar a los interesados el ejercicio de sus derechos en referencia a la protección de datos, incluyendo entre sus medidas la actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de estos derechos.
  4. Será obligatoria la promoción de códigos de conducta para toda la organizació regulando los nuevos roles y procesos que afectan a la misma, como se llevará a cabo la protección de los datos estructurados y no estructurados, la detección y notificación de infracciones y filtraciones de datos dentro de las 72  horas siguientes a su detección, etc.

La ventaja de una pronta aplicación de estas medidas es que se detectarán dificultades, insuficiencias o errores en las mismas -que por ahora no son obligatorias- y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Esto permitiría corregir errores para el momento en el que el Reglamento sea de aplicación.