El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una realidad inminente y un importante paso para aclarar y habilitar los derechos individuales de privacidad en la Unión Europea al, con esta iniciativa, concordar la legislación en esta materia en todos los países de la UE.
Para poder conocer más sobre esta nueva ley, Cornerstone OnDemand ha organizado un encuentro con medios en el que José Alberto Rodríguez Ruiz, DPO de la compañía y responsable de más de 32 millones de datos de clientes alrededor del mundo, ha analizado los principales cambios que conlleva la implantación del nuevo reglamento. Una jornada de análisis y formación, algo realmente necesario puesto que “aún son pocas las compañías que realmente han iniciado ya las acciones necesarias para estar preparados frente al nuevo RGPD”, según afirma José Alberto Rodríguez.
Con el objetivo de dirigirnos hacia un mundo tecnológico más seguro, la implantación del nuevo reglamento es un paso clave en el campo de la seguridad y de la protección de datos, ya que actualiza la normativa europea actual, que data de 1995 y, por lo tanto, la adapta a las necesidades reales de la sociedad digital en la que vivimos.
Como ha explicado José Rodríguez, cada vez es más importante prevenir fugas de datos y para ello analizar y regular bien qué tipo de datos guardamos, cómo los protegemos y quiénes tienen acceso a ellos. Cuando los datos se pierden ya es preocupante, pero este daño puede aumentar dependiendo de la sensibilidad de los mismos. “Estos son casos muy delicados en los que hay que tener en cuenta no sólo la cantidad de registros que se perdieron, sino la sensibilidad de los datos almacenados. Muchas de estas fugas contenían información sensible como cuentas bancarias, direcciones y números de teléfonos de los usuarios”, así lo expone el experto en Protección de Datos.
Es por ello que, en palabras de José Rodríguez, «la Ley de Protección de Datos debería llamarse Ley de Protección de Personas» porque, cuando hablamos de datos, lo hacemos de los de las personas; es por lo que hay que «intentar» no abusar de los datos.
Educar y concienciar
Por todo ello y de cara al futuro más inmediato, es necesario no sólo el nuevo reglamento sino también crear una conciencia digital en la sociedad e impulsar la educación en este campo.
En palabras de José Rodríguez, “las empresas tendrán que ser muy transparentes en tres cosas: qué datos recopilan, cómo los usan, y cómo los protegen, y tendrán que asegurarse que los usuarios (ciudadanos, candidatos, empleados – “interesado” es el término legal” puedan ejercer sus derechos eficazmente. Por eso, tendrán que crear o subcontratar un departamento de protección de datos, responsable de la conformidad, y de la puesta en práctica de los principios de protección de datos desde el diseño y por defecto (artículo 25). Para ello, el nuevo reglamento introduce un nuevo perfil en las empresas: el DPO (Delegado de Protección de Datos, artículos 37, 38 y 39), un rol que en la actualidad pocas compañías tienen. En Cornerstone se creó dicho puesto ya en 2016, al aprobarse la nueva ley”.
El DPO será responsable de velar por el cumplimiento de la RGPD, informará sobre las obligaciones de la empresa, cuándo y cómo debe realizarse una evaluación del impacto de la privacidad, será el contacto ante las autoridades nacionales de protección de datos, etc., y lógicamente, la persona adecuada para diseñar y pilotar los proyectos de adaptación a la ley.
Un aspecto algo controvertido ya que “la incorporación de esta persona será clave para cumplir de forma segura el nuevo reglamento, pero también es cierto que no todas las empresas podrán permitirse incorporar este perfil, por lo que la propia ley abre la puerta para que se pueda recurrir a un DPO externo”.
Además, José Rodríguez ha querido analizar están las empresas españolas preparadas para la implementación de la nueva normativa. Para el DPO de Cornerstone OnDemand “el punto de partida es muy positivo porque la ley española (a diferencia de otros países Europeos), y en particular el decreto de desarrollo, incorporaban una serie de obligaciones de seguridad y gestión en función del nivel de datos, aportando tanto la concienciación como la legislación necesaria para hacer las cosas de manera correcta. En cambio,–y a pesar de ello–, pocas son las compañías que realmente han iniciado ya las acciones necesarias para estar preparados frente al nuevo RGPD, y esto es un problema que parte de una mala base, puesto que si las empresas no están preparadas para el nuevo RGPD probablemente tampoco lo estaban para cumplir con la legislación actual”.
