Ya han pasado unos meses desde el 25 de mayo, fecha clave que marcó la entrada en vigor del RGPD. Las empresas europeas de cualquier tamaño siguen haciendo un gran esfuerzo para cumplir con las nuevas y numerosas exigencias contempladas en una nueva regulación que ha creado una gran incertidumbre legal en relación a aspectos como el consentimiento o la destrucción de datos. Dado que el RGPD se aplica en todo el continente europeo y a todas las empresas y sectores, puede ser interpretado de muchas maneras y eso crea inseguridad.
Estas han sido algunas de las conclusiones que se desprendieron del evento “Implantación del RGPD en tres pasos”, organizado por Iberian Lawyer en Barcelona. La dificultad para aplicar el RGPD a la realidad, así como su falta de claridad, confunde también a las empresas, según los participantes en la jornada. Esto se debe a los diferentes criterios aplicables a la protección de datos, dependiendo del sector en el que se opere. En este sentido se pronunció Ignacio Chico, Director General de Iron Mountain España: “Este reglamento es susceptible de interpretaciones y eso es bueno y malo. Es bueno porque permite a la empresa defender que está haciendo lo razonablemente suficiente para cumplir. Y es malo porque crea muchas dudas sobre cómo aplicar el reglamento correctamente”. El director de Iron Mountain España incidió en la importancia que tiene la trazabilidad: saber dónde están los datos, qué tenemos y dónde está lo que tenemos. Esto se hace esencial en empresas con grandes archivos de papel guardados en cajas. Hacer inventarios y digitalizar los archivos son procesos necesarios que pueden resultar sumamente costosos según el sector en el que se opere, como podría ser el hospitalario, que maneja un ingente número de historiales clínicos físicos.
En referencia a la figura del DPO o Responsable de Protección de Datos, ésta se revela como crucial para que la empresa vaya por el buen camino. Así lo indicaron Carlos Pérez y Alonso Hurtado, socios de Privacidad y Protección de Datos Écija. Ambos señalaron que es fundamental que el DPO tome las riendas y que todo el mundo acate sus decisiones e instrucciones, que haga el seguimiento y que disponga de recursos. “La dificultad en este asunto”, continuaron, “es que pocas compañías pueden permitirse tener un DPO interno y que no es fácil encontrar buenos DPOs externos”.
La destrucción de los datos es otro aspecto problemático, en parte porque las empresas necesitan garantizar el cumplimiento de la legislación, pero también se les exige ser selectivas, lo que implica que tienen que saber qué datos hay que destruir obligatoriamente y cuáles hay que conservar y durante cuánto tiempo. Ignacio Chico, director de Iron Mountain España, comentó que esto también afecta a la gestión documental en el sentido de que los despachos de abogados y las empresas archivan información y la nueva regulación crea la duda de si están reteniendo datos ilegalmente.
Desde un punto de vista de organización interna, maximizar la gran inversión que supone la adaptación al RGPD y minimizar el riesgo suponen un reto importante. Eso implica concienciar al empleado para que entienda la importancia de proteger los datos y la relevancia del RGPD y sanciones asociadas, así como darle formación e instrucciones claras y fáciles de digerir sobre cómo proteger los datos de la empresa.
Sobre este aspecto, desde Écija destacaron: “Es fundamental que alguien con verdadero peso en la compañía diga que la adaptación al RGPD es realmente importante y que las sanciones no se ponen a las personas que incurren en una negligencia sino a la empresa”.