Entrevistamos a M. Àngels Barbarà, Directora de la Autoridad Catalana de Protección de Datos
¿Cuáles son las principales novedades del nuevo Reglamento de protección de datos de la UE?
El nuevo Reglamento se plantea como la regulación que debe garantizar la privacidad y la protección de datos en un momento en que el cambio político, social y económico se está desarrollando a través de las tecnologías, y en el cual los datos se han convertido en un activo imprescindible para las empresas, para generar más valor.
El Reglamento define un nuevo enfoque, en el cual las empresas deben asumir una responsabilidad activa y demostrable respecto al cumplimiento de la normativa. La privacidad debe pasar a formar parte de la responsabilidad social corporativa.
Y, en este sentido, el Reglamento introduce entre otras cuestiones nuevos principios como el de la accountability, nuevos instrumentos como la protección de datos en el diseño y por defecto, así como las evaluaciones de impacto sobre la protección de datos; refuerza, también, la transparencia de los tratamientos de datos y exige que, en determinados casos, las violaciones de datos sean notificadas a las autoridades de protección de datos y a los usuarios.
¿Cuándo entra en vigor?
El Reglamento entró en vigor el 25 de mayo de 2016, pero su aplicación será exigible a partir del 25 de mayo de 2018.
¿Cómo puede afectar a la gestión de las empresas españolas, especialmente de las pymes?
El impacto del Reglamento en la gestión de la información es muy importante, ya que va a exigir a las entidades que asuman el control sobre la información que tratan, en función de los riesgos reales para los derechos de las personas.
El Reglamento, como indica en su Considerando 13, tiene en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, al incluir una serie de excepciones para organizaciones con menos de 250 empleados, en relación con el mantenimiento de determinados registros. No obstante, estas excepciones no serían aplicables si el tratamiento que realizan puede conllevar un riesgo para los derechos y las libertades de los interesados, si es ocasional o si incluye categorías especiales de datos, entre otros casos.
¿Cuáles son los derechos y deberes de las empresas a partir de este nuevo Reglamento?
El Reglamento elimina obligaciones, como la de notificar los ficheros a las autoridades de protección de datos; introduce otras nuevas, como el mantenimiento de un registro de actividades de tratamiento; e incorpora herramientas como la privacidad por diseño, la privacidad por defecto y las evaluaciones de impacto sobre la protección de datos.
Además, incorpora la eventual designación del delegado de protección de datos, la notificación de violaciones de datos y la seguridad basada en un análisis de riesgos.
También aparecen nuevos derechos para las personas, como el derecho al olvido y el derecho a la portabilidad.
¿Qué ventajas entraña para las empresas: oportunidades de negocio, etc.?
En un momento en el que la sociedad se está datificando, el Reglamento supone una gran oportunidad para las entidades, ya que la asunción de un mayor compromiso hacia los usuarios, a través de la garantía de su derecho a la protección de datos y a la privacidad, puede suponer el punto diferencial respecto al resto de sus competidores.
Las entidades que asuman ese compromiso ganarán en confianza de sus usuarios, lo que les permitirá fidelizarlos y aumentar su competitividad.
¿Cómo puede afectar a la actividad internacional de las empresas españolas?
El Reglamento quiere dotar a las entidades de una mayor seguridad jurídica, al establecer un único marco normativo para el conjunto de la Unión Europea. Se pretende evitar divergencias y, así, facilitar la libre circulación de datos personales dentro del mercado interior. Esto sólo puede aportar oportunidades y beneficios a las empresas.
¿Conocen las empresas cómo les van a afectar estos cambios y están preparadas para asumir este nuevo reglamento?
Considero que no son conscientes de las grandes oportunidades que la modificación de la normativa de protección de datos puede suponer para ellas, al dotarlas de un marco más flexible y menos formalista. Esta mayor flexibilidad exige, a cambio, una responsabilidad activa y demostrable respecto a los tratamientos de datos realizados.
Por descontado, las autoridades de protección de datos, y en particular la Autoridad Catalana de Protección de Datos, ya llevan tiempo dando todo el apoyo a las entidades, con el fin de evitar posibles vulneraciones de los derechos y defender de forma proactiva a las personas.
