La entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) el 25 de mayo del 2018 en todos los países de la UE, es un tema de preocupación entre las empresas españolas. Para tratar de arrojar algo de luz sobre esta materia, Sitel organizó ayer en sus instalaciones de Madrid un desayuno de trabajo con el apoyo de Rafael García del Poyo y Samuel Martínez, del despacho de Abogados Osborne Clarke. Ambos profesionales debatieron con los representantes de las compañías presentes y trataron de clarificar conceptos de este nuevo RGPG, además de asesorar a las empresas clientes de Sitel allí presentes.
La polémica acompaña a este nuevo RGPD desde sus orígenes, ya que la mayoría de los juristas recuerdan que en Europa un derecho fundamental no se puede regular a través de un reglamento, como ocurre en este caso. Y esta es una cuestión que para la aplicación del Reglamento va a suponer situaciones complicadas.
Sin embargo, Rafael García del Poyo, también hizo hincapié en el hecho de que la nueva normativa hay que verla como una oportunidad para construir empresas menos opacas y que esto se traduzca en su relación con terceros. Asimismo, animó a los representantes de las compañías allí reunidas a transformarse en organizaciones con departamentos más colaborativos. De hecho, para una correcta aplicación del nuevo RGPD y evitar posibles problemas, es importante que en todos los proyectos trabajen de la mano el departamento jurídico, el área organizativa empresarial y la de IT.
En su intervención, Rafael García del Poyo, aportó una metodología de trabajo para abordar el cumplimiento de esta normativa, que por estar basada en el derecho sajón, en España puede resultar difícil de entender y asimilar.
Cinco pasos para una correcta metodología de trabajo:
1. Creación de un equipo para la protección de datos y la elaboración de un roadmap. Este último ha de recoger desde dónde se parte y a dónde se quiere llegar, definiendo siempre prioridades.
2. Hacer un análisis de riesgo. Es importante leer las opiniones de otros organismos internacionales que se encarguen de la protección de datos, al margen de la Agencia de Protección de Datos española. Esto ayuda a generar conocimiento en la compañía y por tanto, valor.
3. Desarrollar procedimiento y políticas (qué medidas de seguridad adotar, en qué casos hay que hacer una evaluación de impacto, etc.).Todo ello ayudará a clarificar los consentimientos y obligaciones que se deben cumplir.
4. Implementar los controles necesarios (medidas de seguridad y PIAs -Evaluación del Impacto sobre la Privacidad-)
5. Asegurar el cumplimiento de la normativa a través de auditorías y certificaciones.
Datos en manos de terceros
El nuevo Reglamento recoge diversas obligaciones que a día de hoy, la mayoría de los departamentos jurídicos de las empresas ya conocen. Así pues, solo nos detendremos brevemente en algunas de esa principales obligaciones que regirán las relaciones de las empresas con los procesadores de sus datos, como es el caso de las compañía que prestan servicios de contact center.
Una de las principales observaciones de la norma es que las empresas solo podrán ceder sus datos a las compañías procesadoras de datos que cumplan con el RGPD, como parece lógico. Asimismo, todo el proceso debe estar regulado por un contrato en el que se recojan las instrucciones del controlador de datos, incluyendo las transferencias internacionales; las obligaciones de confidencialidad; las medidas de seguridad técnicas y de organización; el compromiso de los subcontratistas; donde se especifique cómo se van a devolver los datos, y disponer de la información necesaria para demostrar la conformidad y contribuir a las auditorias que puedan exigirse. De ahí la necesidad de tenerlo todo documentado.
En cuanto a las obligacions directas para los procesadores datos, estas quedan reguladas en el nuevo RGPD.
(Manuela Vázquez)
