¿Por dónde debe empezar una empresa a abordar su adaptación al Reglamento General de Protección de Datos (GDPR)?
Teniendo en cuenta que tenemos pendiente una reforma de la Ley Orgánica de Protección de Datos en los próximos meses, las empresas deben comenzar por cumplir aquellas obligaciones que establece el Reglamento y que difícilmente van a ser modificadas por esta reforma. Entre ellas, sin duda, se debería comenzar por confeccionar el registro de actividades de tratamiento que regula el artículo 30 del Reglamento, ya que de esta manera la empresa será consciente de la tipología de datos que trata, sus finalidades, y las obligaciones que deberá cumplir. Igualmente este registro nos permitirá crear una árbol de dependencias que nos permita conocer los departamentos implicados, las entradas de información, las salidas de información desde un determinado tratamiento, prestadores de servicio, cesiones, transferencias internacionales que puedan existir y cómo no, y no menos importante, los sistemas de información asociados a dichos tratamientos sobre los que deban implementarse medidas de seguridad. Este registro nos permitirá además tener una idea inicial sobre qué tratamientos pudiesen ser susceptibles de necesitar la realización de una evaluación de impacto a la que hace referencia el artículo 35 del Reglamento.
¿Cuáles deberían ser los próximos pasos a seguir para tener en mayo de 2018 todo a punto para cumplir con los requerimientos de la legislación europea?
Una vez realizado el registro de tratamientos, las empresas deberían realizar un análisis comparativo entre la situación en la que se encuentran en la actualidad bajo el amparo de la normativa estatal, y las acciones que deben acometer para cumplir los requerimientos del reglamento, es decir, un plan de acción programado en el que debe incluirse principalmente la realización de análisis de riesgos en dos vertientes principales: por un lado, un análisis de riesgos en aquellos casos donde sea necesaria la realización de evaluaciones de impacto; y, por otro lado, un análisis de riesgos dirigido a implementar medidas de seguridad. Por otro lado, tendrán que abordar ajustes a nivel jurídico u organizativo, entre los que se encuentran la redacción de nuevas cláusulas de consentimiento informado, revisar las relaciones y contratos con sus prestadores de servicio de acuerdo al nuevo principio de responsabilidad activa, implementar procedimientos que aseguren el cumplimiento de nuevos principios como el de minimización de datos y protección de datos desde el diseño de productos o servicios, implementar medidas técnicas para facilitar la portabilidad de datos, así como nuevos procedimientos dirigidos a mitigar y comunicar las brechas de seguridad que puedan acontecer tanto a sus clientes como a las autoridades de control. No podemos olvidarnos tampoco de la figura del DPO, que deberá ser nombrado (de forma interna, o contratado de forma externa) en aquellos casos en los que sea obligatorio, bien por el Reglamento Europeo, bien por la futura reforma de la LOPD.
A nivel legal, ¿cuáles son los principales cambios a abordar por compañías y administraciones?
Quizá el cambio más importante es el cambio en el punto de vista la normativa. Pasamos de un punto de vista “reactivo” a un punto de vista “proactivo” según el nuevo principio de “responsabilidad activa”. Esto supone que las compañías y administraciones deben ser conscientes del tratamiento que realizan de datos, cumplir con la normativa y poder demostrar que cumplen. Este principio nos lleva a reforzar las cláusulas de consentimiento (que deberá ser expreso en todo caso y concreto para cada tratamiento) y de información (que amplía la información que ha de suministrarse, incluyendo el tiempo de retención de los datos por parte de la empresa o la Administración).
Pasaremos de tener documentos de seguridad prácticamente “estáticos”, como hasta ahora, a tener procedimientos implementados en las compañías que se asemejen más a sistemas de gestión ya conocidos a través de estándares internacionales y que cubran las obligaciones de la nueva normativa europea. El mantener un registro de tratamientos actualizado supone que este debe estar vivo, y, por tanto, mediante procedimientos eficaces deberemos ser capaces de reaccionar ante la creación de nuevas líneas de negocio de forma rápida para que estas se ajusten en materia de privacidad a los requisitos del reglamento.
Y a nivel tecnológico, ¿qué acciones concretas deberán emprender las compañías?
A nivel tecnológico, el reglamento es totalmente abierto y neutral. Si bien establece en varios apartados la recomendación de anonimizar, disociar y cifrar los datos en la manera de lo posible, no establece obligaciones tasadas como ocurría hasta ahora en nuestro RD 1720/2007 de desarrollo de la LOPD. El reglamento europeo obliga a la empresas a que realicen un análisis de riesgos en base a los tratamientos realizados y los sistemas de información que dependen de estos, y que en base a dicho riesgo se implementen las medidas de seguridad necesarias que aseguren la confidencialidad, integridad, resiliencia y disponibilidad de los datos personales. Es un giro de 180 grados en la filosofía que responde de nuevo a ese principio de “responsabilidad activa”. Las empresas han de ser conscientes de qué tienen y cómo lo están protegiendo. Una vez más, es un giro que nos acerca a los sistemas de gestión de seguridad de la información.
¿Cree que las empresas e instituciones españoles están a tiempo de tenerlo todo preparado para mayo del próximo año, o cree que los retrasos serán la norma?
Tengo la sensación de que grandes empresas y multinacionales están dando pasos (algunas ya con implementaciones avanzadas) para su adaptación al reglamento. Sin embargo, no tengo esa misma sensación en el resto de entidades (pymes, administraciones públicas, autónomos). Un motivo es la futura reforma de la LOPD, que quizá eche atrás a estos a implementar unas obligaciones que pueden ser modificadas con esta futura reforma. Sin embargo, tras haberse conocido el texto del anteproyecto de ley, se ha podido comprobar que los cambios respecto al reglamento son mínimos, por lo que, a priori, y si el texto final va en la línea, no hay motivo para retrasar la implementación. La adaptación al reglamento es laboriosa, ya que existen numerosas acciones que pueden exigir un esfuerzo importante en tiempo y recursos, por lo que esta adaptación no debería dejarse hasta el último momento. El riesgo de no realizar la adaptación es elevado, al igual que lo son las nuevas sanciones que establece el reglamento, y que pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación global de la entidad.
