A falta de menos de un mes para la aplicación del Reglamento General de Protección de Datos (GDPR en sus siglas en inglés), las compañías se están preparando para tenerlo todo listo de cara a esta normativa europea. Así, la responsabilidad proactiva de empresas y organismos es uno de los puntos clave para ello, es decir, deben realizar un análisis del riesgo mediante el que se obtengan las medidas a implantar junto a una posible evaluación del impacto de la protección de datos en la entidad, tal y como ha destacado la tecnológica Sothis en la charla ‘Cómo afecta la GDPR a tu negocio’ dirigida a miembros de la Asociación de la Industria Alimentaria de Castilla y León (Vitartis).
“Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece”, explicó el responsable del Departamento de Gobierno de Seguridad de la Información de Sothis Raúl Prieto, quien añadió que actuar solo cuando ya se ha producido una infracción “es insuficiente como estrategia, pues los daños pueden ser difíciles de compensar o reparar”.
La figura del DPO
Durante la charla, Prieto recalcó que la GDPR prevé en ciertos sectores la designación del llamado Delegado de Protección de Datos (DPO). “Se trata de la persona responsable de informar a la entidad sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto. Además, debe actuar como punto de contacto entre la Agencia Española de Protección de Datos (AEPD) y la organización”.
Esta figura se debe designar siempre y cuando el tratamiento de los datos se realice por parte de autoridades y organismo públicos; organizaciones que realicen un seguimiento de interesados de forma habitual y sistemática a gran escala; y organizaciones que procesen datos personales de categorías especiales a gran escala. Según la normativa, el DPO que se nombre debe contar con cualidades de distinta naturaleza, incluyendo conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos, así como habilidades de comunicación.
“Por ello, es recomendable que el DPO esté certificado, ya que la labor que desarrolla va a ser muy importante para la empresa. Como mínimo, entre sus funciones, debe informar y asesorar al responsable del tratamiento de los datos; supervisar el cumplimiento de lo dispuesto en el Reglamento; ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto sobre la protección de datos; y cooperar y ser contacto de la autoridad de control”, apuntó Prieto.
Durante la ponencia, el responsable del Departamento de Gobierno de Seguridad de la Información de Sothis también mencionó casos de empresas sancionadas por no cumplir con la debida protección de datos de los usuarios, así como la millonaria multa que se impuso a Facebook y el escándalo en el que la red social se ha visto envuelta tras la cesión y tratamiento de datos por parte de Cambridge Analytica. Los asistentes también pudieron poner en práctica un caso sobre la adecuación a la GDPR.
“La aplicación de esta normativa viene dada por la incertidumbre con la que se trabajaba hasta ahora, cuestiones tan relevantes como el procesamiento y almacenamiento de datos entre países, el nuevo tratamiento que se hace de los mismos con herramientas de Big Data o de Geolocalización, las brechas de seguridad o los nuevos escenarios de riesgo existentes. De esta manera, se trata de proteger mejor la privacidad de la ciudadanía de la Unión Europea”, ha concluido.
