Noticias JurídicasOrigen http://noticias.juridicas.com

#nuevaLOPD
17/05/2018 08:24:19 | Wolters Kluwer | Ciberseguridad

¿Qué aportan las tecnologías al cumplimiento del RGPD?

Nuria Méler. Este fue el sugerente título de una de las mesas redondas de la jornada sobre Ciberseguridad celebrada el pasado 8 de mayo en el Palacio Euskalduna de Bilbao.

En ella participaron diferentes ponentes con marcado perfil tecnológico procedentes de empresas que ofrecen soluciones en materia de ciberseguridad. Pero el coloquio contó también con la valiosa aportación jurídica de Iñaki Pariente, quien fuera Director de la Agencia Vasca de Protección de Datos entre los años 2012 y 2016.

Las empresas ante el RGPD

Ante la inminente aplicación del Reglamento General de Protección de Datos (RGPD) el próximo 25 de mayo, Pariente destacó los siguientes aspectos y desafíos que supone:

• Las organizaciones no están preparadas para cumplir con todas las nuevas obligaciones que el RGPD implica, o por lo menos no cuentan, en su mayoría, con un nivel adecuado con respecto a lo que las Agencias exigen. Incluyó en el grupo tanto a las empresas privadas como a las públicas o las propias Administraciones Públicas.

• Para contar con una política de cumplimiento adecuada no va a servir de nada contar solo con la documentación estándar o con soluciones estándar.

• Por ahora, lo que se aprecia en las empresas es sobre todo un temor a las multas. Por eso los responsables de los tratamientos exigirán que los encargados sean cumplidores con el RGPD y estos a su vez pedirán a los responsables que estén adaptados, produciéndose por lo tanto un efecto en cadena.

Una de las preguntas que se le formularon desde la mesa de debate fue si los Consejos de Administración de las empresas conocen el alcance del no cumplimiento del RGPD. Su respuesta fue taxativa: no. Han dado más importancia al cumplimiento Penal, pero la privacidad en cambio no se ha liderado "desde arriba", sino desde un nivel intermedio representado por los departamentos jurídicos, de seguridad o incluso de marketing. Pero no desde la gerencia, a la que le ha venido dado. No obstante, dijo, en las formaciones que él imparte, observa cómo el posible impacto sancionador enseguida se capta por los consejeros y máximos representantes de las empresas.

Prioridades para cumplir con el RGPD

Las empresas, que eran eminentemente tecnológicas en esta jornada dedicada a la Ciberseguridad, preguntaron al experto sobre qué cuestiones habría que trabajar de manera inminente. Estos fueron algunos de los consejos de Pariente:

1. Cumplir con el RGPD supone una reflexión sobre los flujos de datos y sus canales. Hay que conocer esos flujos y los periodos de conservación de los datos. Indicó que periodos indefinidos podrían considerarse contrarios al RGPD.

2. El modelo organizativo es esencial. Hay que definir las funciones, en especial, del papel del Delegado de Protección de Datos (DPO como siglas de la nomenclatura en inglés, Data Protection Officer): se le debe conocer, asumir, formar y dotar de funciones reales.

3. Revisar la información que se proporciona a las personas físicas, con conocimiento interno de la organización.

4. Revisar la salida de datos en hosting, cloud, proveedores externos, etc. Es necesario además analizar todos los supuestos de transferencias internacionales de datos, donde se incluyen los accesos remotos, que depende desde dónde se produzcan, van a significar dicha transferencia internacional.

5. Analizar los riesgos de la lógica de los datos desde la perspectiva de los riesgos para los derechos de las personas, no desde el punto de vista del riesgo para la empresa.

Revisión continua con herramientas adecuadas

Esta sería la primera aproximación pero el RGPD exige una revisión continua con herramientas adecuadas para cada tratamiento ¿Cada cuánto? La norma no lo especifica, por lo que lo recomendable es que las revisiones se realicen con un ciclo permanente de evaluación de la seguridad. Porque la "resiliencia", dijo, va a ser esencial para la seguridad y continuidad de los negocios. Por ello, sugirió que todos los contratos SLA contemplen las consecuencias para posibles brechas de seguridad.

Panorama jurídico incierto

Es cierto que el panorama jurídico tampoco ayuda mucho, ante la inminencia de una nueva Ley Orgánica de Protección de Datos que no se sabe aun cuándo verá la luz y con correcciones de errores del propio RGPD, como la publicada recientemente con modificaciones que van más allá de meras correcciones y que además deben integrarse en el texto definitivo en cada idioma de la UE.

Y no solo eso, sino que también existen contradicciones entre el RGPD y la regulación del procedimiento administrativo. Esta cuestión procedimental es especialmente interesante por lo que afecta al procedimiento sancionador, llevando incluso a plantear la cuestión de si las Agencias podrán imponer sanciones en el panorama normativo actual en que no hay aun Ley estatal que articule dicho procedimiento. Una disquisición jurídica muy interesante para los expertos. Por ahora, indicó el ex Director de la Agencia Vasca, las Agencias están desempeñando un papel proactivo, pero habrá que ver qué sucederá cuando lleguen las denuncias.

En concreto, desde el público se preguntó también si la nueva regulación mantendrá la postura de no sancionar a las Administraciones Públicas, poniendo de ejemplo el caso de "La Manada" en el que una brecha de seguridad ha dejado al descubierto los datos de la víctima. Iñaki Pariente afirmó que se trata de una brecha gravísima que por lo pronto ha supuesto que Navara dé de baja el sistema utilizado en su sistema de justicia hasta ese momento. Y aclaró que el RGDP no dice que las Administraciones Públicas no puedan ser sancionadas y que el Proyecto de LOPD habla de "no sanción", pero siempre caben procedimientos de responsabilidad patrimonial civiles o incluso penales, añadiendo que "seguro que habrá sanciones". En definitiva, hay mecanismos ya previstos, pero es cierto que podría haber más.

Como conclusión, a pesar del incierto marco normativo, queda la obligación de cumplir porque faltan menos de dos semanas para que el RGPD sea aplicable.

Para saber más...

Wolters Kluwer pone a su disposición el más completo conjunto de herramientas, cursos de formación y materiales de trabajo para facilitarle el cumplimiento del RGPD. Consulte toda la información en este enlace.

 


Te recomendamos

Actividad en Facebook