“Las empresas deben empezar ya a adaptarse al Reglamento General de protección de datos”, declara la directora de la AEPD

Tan sólo unos días después de la aprobación definitiva del nuevo Reglamento Europeo de Protección de datos (RGPD), el diario económico Expansión publicó una entrevista a la Sra. Mar España Martí, Directora de la Agencia Española de Protección de Datos.

Según España Martí, con la aprobación del Reglamento General de Protección de Datos, la Unión Europea ha cambiado la manera de entender la privacidad, dejando de ser reactiva para ser preventiva, enfoque que va a provocar importantes cambios estructurales y organizativos, tanto en empresas como la propia AGPD.

Por ello, a pesar de que contamos con 2 años de plazo para adaptarnos a las nuevas obligaciones que marca el reglamento, según la directora de al APED, se debe empezar el trabajo desde ahora, para ir adaptando los procesos, pues la nueva normativa supone una gestión distinta de la que se viene empleando.

La Agencia Española de Protección de Datos (AEPD), en su faceta preventiva, quiere fomentar que las entidades puedan conocer las posibles dificultades en su aplicación para tomar medidas que permitan solventarlas.

Detallamos a continuación algunas de las implicaciones prácticas que convienen conocer por parte de las empresas por las posibles dificultades que pueden encontrarse en su aplicación para afrontar el momento en el que el reglamento sea aplicable:

• El consentimiento para el tratamiento de datos personales deberá ser inequívoco, ya no será válido el consentimiento tácito. Por ello la recomendación de la agencia es que las organizaciones revisen los consentimientos ya obtenidos para adecuarlos al Reglamento, así como que empiecen a utilizar mecanismos acordes con la nueva legislación.
• En este periodo transitorio de 2 años se deberán actualizar de manera progresiva las cláusulas informativas a los principios adicionales que dispone el nuevo reglamento. Con la suficiente antelación deben adoptarse las medidas necesarias en el caso de que presenten carencias, pues además en muchos casos esas políticas informativas dependerán de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos.
• La realización de evaluaciones de impacto, obligatorio para ciertos casos que el tratamiento de datos, ponen en riesgo los derechos y libertades de los ciudadanos.
  La Agencia considera que no debería esperarse a la fecha de aplicación del Reglamento para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.
• Los contratos de encargo de tratamiento que determina las obligaciones de las partes ante la prestación del servicio, deben respetar el contenido fijado por el Reglamento.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

Frente al reglamento europeo, también habrá que alterar el contenido de nuestra Ley Orgánica de Protección de Datos (LOPD) para adaptarla al nuevo texto. En este asunto, la AEPD también tendrá un rol esencial -como guía- para que cuando el reglamento sea directamente aplicable se cuente con toda la seguridad posible.

La salvaguarda de la privacidad y la protección de los datos de los ciudadanos se han convertido en unos de los retos más importantes de esta era digital y debemos ser conscientes y estar preparados antes del 25 de mayo del 2018.