¿Es obligatorio contar con un software de protección de datos?
Con la entrada en vigor el pasado 25 de mayo del RGPD todo cambia. La pregunta de partida estriba, en cualquier caso, en conocer cómo afecta el nuevo RGPD en el día a día de las organizaciones. Es decir, en saber cómo afrontan este importante cambio de paradigma en el tratamiento de los datos personales que ahora requiere de ayuda profesional y tecnológica.
Ayuda que pasa necesariamente por contar con la figura del delegado de protección de datos (DPO) y el apoyo de herramientas o soluciones fiables y eficaces que permitan demostrar a las empresas y administraciones ante la Agencia de Protección de Datos que cumplen con el reglamento europeo.
Esta necesidad y dicho cambio fueron objeto de debate durante la jornada RGPD Update, en la que se presentó la solución de software Compliance Protección de Datos de Lefebvre-El Derecho. José Ángel Sandín, consejero delegado de la editorial jurídica, señalaba que la asunción del reglamento "ciertamente supone un paso decisivo en la transformación digital de las empresas y las administraciones en tanto que todas se van a ver afectadas".
Una adaptación obligada cuyo impacto, en caso de no seguirse, trasciende notoriamente tanto en el aspecto económico de la organización como en el prestigio de la misma, afectando además a su crédito reputacional y credibilidad. Por eso, la correcta aplicación de la norma y gestión de la protección de datos justifica contar con un software que cumpla las exigencias, satisfaga las expectativas y aporte certeza frente a las demandas del RGPD y la AEPD. En definitiva, la adaptación es la clave del éxito.
Entre el cambio y la continuidad
Según Joaquín Muñoz, abogado de Ontier, "el RGPD es un cambio cultural que las empresas y organizaciones tienen que concebir como una formación de revisión continua". La idea de continuidad gravita en todo ello. El reglamento implica y plantea una superación. Una nueva etapa que obliga a empresas y administraciones a una adecuación constante a sus dictados, a sus interpretaciones y a todas sus novedades que, en un futuro próximo, lo habrán de acompañar.
Un cambio que ha venido a quedarse. Pero una reforma en la que no todo es nuevo. En efecto, perviven aún la Ley de Servicios de la Sociedad de la Información, e incluso son aplicables aún algunos artículos de la LOPD, de 1999, mientras ésta última no sea sustituida totalmente por la nueva que, en pocos meses, se aprobará y entrará en vigor. Será entonces cuando proclamaremos "la LOPD ha muerto; viva el RGPD", como señala Marcos Judel, abogado de Audens y vicepresidente primero de la APEP.
Entre la importancia y la urgencia. Juan Pujol, presidente de Lefebvre-El Derecho, advirtió que "el nuevo régimen jurídico en protección de datos es identificado por casi todos con el inicio de las sanciones", que van hasta los 20 millones de euros, y que es probable que inicialmente se manifiesten en forma de multas disuasorias y ejemplarizantes, al más puro estilo anglosajón.
"Esto es muy serio y lo que se trata y persigue es que se cumpla el RGPD", corroboraba José Luis Piñar, delegado de protección de datos del Consejo General de la Abogacía Española y director técnico de la línea de Compliance de Protección de Datos de Lefebvre-El Derecho, quien insiste en destacar que todo el proceso de adecuación requiere además de un cambio de mentalidad.
En ese postulado coincide Miguel Recio, abogado y uno de los principales expertos en la materia, cuando sostiene que "de la mera gestión de datos personales que obligaba la LOPD, pasamos al gobierno de los datos, un cambio que se produce por madurez".
¿Qué significa cumplir con el RGPD?
El reglamento viene repleto de novedades, muchas de ellas trascendentales. Principalmente relevantes resultan los cambios de método y procedimiento que imponen los principios de privacidad en el diseño, de privacidad por defecto, y otros muchos que ya han empezado a aplicarse en el tratamiento de datos.
Pero en especial, hemos de referirnos a la responsabilidad proactiva o accountability. Se trata del principio recogido en el artículo 24, que obliga al responsable del tratamiento a aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento que se realiza es conforme al reglamento.
Principio que pone el foco en la necesidad de imponer e incorporar metodología, no sólo en el análisis de riesgos o en las evaluaciones de impacto, sino también en todos los flujos y procesos que requiere el arduo y amplio proceso de tratamiento de datos.
Todo ello con el fin de facilitar la prueba, para dejar evidencias del cumplimiento. Evidencias necesariamente registradas, documentadas, centralizadas y controladas, y por tanto disponibles en caso de que sean requeridas por la labor inspectora de la AEPD. En ese sentido, Katiana Otero, abogada de Garrigues, reafirma que "es muy importante la medida de registro de tratamiento de los documentos en las empresas, ya que supone la base para el cumplimiento de todos los requisitos del RGPD", algo para lo que ha nacido el software Compliance Protección de Datos de Lefebvre.
El DPO, un profesional que precisa ayuda
Según José Luis Piñar, esta norma incrementa considerablemente las obligaciones que el DPO ha de asumir. Y si todo tratamiento de datos implica un riesgo, como mantiene Recio, la posición proactiva que al DPO le corresponde ahora ejercitar como máximo responsable y vigilante del cumplimiento, le sitúa inevitablemente en una posición de alto riesgo en la organización.
El DPO se presenta casi como un superhéroe que precisa de una amplia capacidad de gestión de la documentación y de supervisión en el cumplimiento del tratamiento sobre la base de documentos que deben estar necesariamente a su disposición. Necesidad ésta que sólo se puede satisfacer mediante las oportunas soluciones tecnológicas en el ámbito documental y de compliance en el área del tratamiento de la protección de datos. Herramientas que faciliten su actividad, aporten trazabilidad y propicien la mejora continua en los procesos. Dejando atrás la etapa en la que el responsable de LOPD podía valerse prácticamente con sólo las hojas del entrañable Excel.
Por tanto, entre la conveniencia y la obligación, en cualquier caso, aunque el software de protección de datos no sea obligatorio, es preciso reconocer que sí resulta necesario.