A dos meses de aplicarse el Reglamento General de Protección de Datos, muchas organizaciones se plantean qué medidas concretas deben implantar para cumplir con la normativa, de aplicación en toda la Unión Europea a partir del próximo 25 de mayo. Por ello, desde PONS IP celebramos un encuentro en Fundación PONS para repasar las principales novedades del RGPD y su aplicación práctica en diversos tipos de empresas. José Carlos Erdozain, director jurídico de nuestra firma, y Paula García, abogada experta en protección de datos, resolvieron las dudas de los asistentes, además de las de los espectadores que nos siguieron en directo directo a través de Youtube.
Entre los cambios introducidos por el reglamento, se destacó el principio de responsabilidad activa al que deberán someterse todas las organizaciones que tratan datos de carácter personal, con independencia de su tamaño. También la nueva definición del consentimiento de las personas a la hora de recabar sus datos, exigiéndose un acto afirmativo claro por su parte. «Las empresas tendrán que poder probar que el usuario ha dicho “sí”. Habrá que analizar si en todos los casos esto pasa por marcar una casilla o si habrá situaciones que se puedan interpretar como de consentimiento expreso», explicó García.
En esa línea, Erdozain abordó una de las cuestiones que más inquieta a los empresarios: ¿Estoy obligado a renovar los consentimientos ya obtenidos para el tratamiento de los datos? Nuestro director jurídico cree que debe primar la prudencia, revisando si los consentimientos anteriores se ajustan a la nueva normativa. En caso contrario o ante la duda, recomienda renovarlos para evitar sanciones, que también se han endurecido con la nueva regulación. «Debemos pensar que el RGPD ya no admite el silencio o la inacción de las personas como una forma de consentimiento», aseguró.
Durante el encuentro también hubo espacio para debatir sobre una de las medidas más llamativas del Reglamento: la necesidad de implantar un Delegado de Protección de Datos en las compañías que traten datos de carácter personal. Pero, como aclararon los ponentes, el DPO no será necesario en todos los casos. Sí estarán obligados a contar con él las autoridades y organismos públicos (a excepción de Tribunales), así como aquellas organizaciones que realicen un tratamiento a gran escala de categorías especiales de datos. Entre las empresas consideradas como «casos especiales» ante la figura del DPO, se destacó el caso de las entidades de publicidad y prospección comercial, centros sanitarios, redes y servicios de comunicaciones electrónicas, aseguradoras, distribuidores y comercializadores de energía eléctrica y colegios profesionales, entre otras.
También se recordó a los ponentes que este Reglamento introduce nuevos derechos, como el derecho al olvido, el derecho a la portabilidad y la nueva regulación de los derechos ARCO, de Acceso, Rectificación, Cancelación (que ahora se define como supresión) y Oposición. Todas estas novedades implican un mayor dinamismo e importancia de la Protección de Datos en la UE, obligando a las entidades a tenerla muy en cuenta desde el diseño de sus planes estructurales y de negocio. Además, el reglamento también afecta a empresas no ubicadas en el territorio de aplicación si éstas ofrecen bienes y servicios a ciudadanos residentes en dicho territorio. Quedan por matizar algunos aspectos que, según confían los expertos, desarrollará la futura Ley Orgánica de Protección de Datos española, que presumiblemente no se aprobará antes de la aplicación del Reglamento.
En definitiva, y como recuerdan nuestros expertos, el nuevo RGPD exige que la cultura de la protección de datos se convierta en parte intrínseca de toda la actividad empresarial, demandando para ello una mayor responsabilidad y esfuerzo por parte de todos.
¿Te perdiste la retrasmisión en directo de esta jornada? Aún puedes verla en el siguiente vídeo:
