Conócenos

PROTECCIÓN DE DATOS

El impacto del Reglamento General de Protección de Datos de la UE sobre el cumplimiento normativo y el buen gobierno

Por Joao Claro

  • Imprimir

Joao Claro

Con la fecha del 25 de mayo de 2018 en el horizonte, el RGPD (Reglamento General de Protección de Datos) de la Unión Europea está en la mente de todos. Ese día entrará en vigor la Regulación EU 2016/679 sobre Protección de Datos, que tiene como objetivo fortalecer y unificar la protección de datos para todos los individuos y empresas de la Unión. 

Los gestores de los programas de buen gobierno y cumplimiento normativo tienen responsabilidades relacionadas con el RGPD al manejar datos que incluyen información personal sobre los miembros de los Consejos de Administración, así como sobre la documentación que en ellos se maneja. Por lo tanto, deben estar muy atentos a esta nueva normativa. En este artículo abordamos la manera de prepararse para hacer compatible la necesaria transparencia que lleva implícita cualquier programa de buen gobierno con la protección de los datos personales y empresariales.   

Los principios del RGPD

El RGPD demanda, en primer lugar, que los datos personales que una empresa conserva sobre su personal, proveedores y clientes sean guardados de manera segura, conservando la fuente original, con rigurosidad, durante el tiempo estrictamente necesario, con la protección adecuada en caso de transferencia a otros países o servidores y que sean procesados y gestionados de acuerdo con la legislación vigente. 

Los cambios que incluye el Reglamento bucan el equilibrio entre los derechos de protección de datos de las personas y las obligaciones de las empresas en cuanto a la gestión de los datos que guardan sobre ellas. El Reglamento no olvida tampoco un régimen de multas, que pueden llegar hasta los 20 millones de euros. 

Aquí es donde entra en juego la responsabilidad relacionada con el programa de buen gobierno, una de cuyas premisas es la grabación y conservación de la documentación de los Consejos de Administración, así como de la cadena del proceso de la toma y ejecución de las decisiones en los mismos. En este sentido, cualquier compañía asume el papel de “controlador” o “procesador” de datos y, por lo tanto, necesita revisar sus prácticas para preparar el RGPD. 

Una de las cuestiones a tener en cuenta es que la GDPR introduce la obligación de que algunas empresas nombren un responsable de la protección de la información, ya sea un empleado o consultor externo. Esta figura tiene la responsabilidad de monitorizar el cumplimiento de la GDPR, informando a los trabajadores de sus obligaciones y de las medidas, términos y plazos que deben cumplir. 

Un buen punto de partida

El primer paso cuando procesamos los datos de los miembros del Consejo de Administración es definir la legalidad del proceso en función de las condiciones del RGPD y asegurar las garantías en lo referido a:

– Consentimiento del sujeto a quien se refieren los datos.

– Establecimiento de un contrato con los datos del sujeto.

– Establecimiento del cumplimiento de las obligaciones legales.

– Protección de los datos de vital interés de los datos del sujeto o de terceras personas.

– Definición de los documentos o datos de interés público o necesarios para el ejercicio de la autoridad oficial de control.

 – Definición de los datos necesarios para fines de interés legal de la empresa o de una tercera parte. 

A la hora de diseñar el programa de cumplimiento normativo hay que tener en cuenta que la nueva Ley marca como requisito explícito el hecho de que las empresas diseñen cada nuevo proceso o producto teniendo en cuenta la privacidad como un aspecto central. Esto es lo que se conoce como privacidad por diseño

El contrato debe tener esto en cuenta y una manera de hacerlo es definir correctamente todos los tipos de datos que se gestionan y guardan, así como la localización del alojamiento (hosting), la transferencia de información y los detalles de terceras partes, la seguridad de la información, el tiempo durante el que los datos se guardan, el propósito que tiene conservar esos datos y los permisos para su protección. 

Otro buen punto de partida es asegurar la protección informática de los datos que la empresa custodia. En este sentido, una norma de referencia es la ISO 27001, que certifica si la empresa o el organismo gestor de los datos está dotado de sistemas y procesos extremadamente robustos de gestión de datos. La certificación ISO 27001 significa que las medidas de seguridad están establecidas tanto en un entorno de software –los permisos de acceso y gestión a los programas de cumplimiento normativo-; en los centros de datos en los que se almacena la información; como también en las personas y procesos que se gestionan. Un ejemplo de esto último son los permisos de acceso a edificios y sistemas informáticos que impiden intromisiones de personas no autorizadas. 

La gestión del derecho al olvido

Un aspecto novedoso del RGPD, que va más allá de las consideraciones de seguridad, es el relativo al derecho al olvido. Si hablamos de buen gobierno y cumplimiento normativo, hay ocasiones en que está justificado decir “usted no puede borrar la documentación relativa a un individuo en el entorno de un Consejo de Administración, porque podría necesitarla por motivos fiscales o por razones críticas para el negocio”. 

Los responsables del Consejo de Administración tienen la última palabra sobre la información que desean almacenar, pero siempre deben tener en cuenta los datos que necesitarán en caso de una auditoría y también aquella que garantiza la necesaria transparencia en lo referente a las prácticas de buen gobierno. Por ejemplo, un buen programa de cumplimiento normativo necesita guardar los votos de las decisiones que se toman en el Consejo de Administración. Estos datos deben quedarse grabados en el sistema para demostrar el histórico de las decisiones que se toman y en qué se basan esas decisiones con objeto de depurar responsabilidades en caso necesario. 

Otro nuevo derecho es la portabilidad de datos, que requiere que el controlador proporcione los datos de forma estructurada, en un formato electrónico común que sea legible por ordenadores. Por último, cabe destacar que la Ley no sólo es de aplicación para todas las empresas de Europa, sino también para empresas internacionales que gestionen datos de usuarios residentes en la Unión Europea. 

En conclusión, estos cambios en cuanto a la protección de datos reflejan el hecho de que los procesos que pasan a través del software forman parte en la actualidad de nuestro día a día tanto en el plano personal como empresarial. La regulación muestra que, el uso de soluciones que incluyen las últimas medidas de protección marcadas por la ley, en las que los datos pueden ser gestionados y protegidos más fácilmente. es preferible al uso de métodos que no aporten la suficiente seguridad.


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

COMENTARIOS JURISPRUDENCIALES

ebook gratuito

CASE STUDY & MASTER CLASS

ENTREVISTAS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

GESTIÓN DE DESPACHOS

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

La domotización de los negocios de verano ahorra energía, dinero y aumenta la seguridad

Con el verano a la vuelta de la esquina, los negocios propios de esta estación comienzan a abrir sus puertas. Desde hoteles y restaurantes en la costa hasta terrazas, piscinas y parques acuáticos en el interior trabajan contrarreloj para tener todo listo para los primeros clientes. 

El ICO se une a la red Alastria para desarrollar la tecnología Blockchain

El acuerdo persigue promover la implantación de una infraestructura blockchain de una forma segura y eficiente, con eficacia legal en el ámbito español

Nombramientos de la ministra de Economía y Empresa

Francisco Polo asume la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17