Blog

¡Acomódate!, es tiempo de lectura.

Que necesita o teu negocio para unha correcta adaptación en materia de protección de datos?

by | Mai 5, 2021 | Blog tecnoloxía, Entrevistas, Seguridade informática | 0 comments

como-proteger-los-datos-de-tu-empresa

No post de hoxe, Henrique Vidal, consultor normativo e director de desenvolvemento en MH Consultores e asociado da Asociación Profesional Española de Privacidad (APEP) é o encargado de falarche sobre a protección de datos para a túa empresa e explicarche, dunha forma moi amena, os principais puntos do Regulamento para poder entendelo á perfección. Espero que desfrutes da lectura! 😉

O próximo 25 de maio van a facer 3 anos que o novo Reglamento (UE) 2016/679, máis coñecido como RGPD ou ‘Reglamento General de Protección de Datos’, adquiriu carácter de obrigado cumprimento. Dende entón, moitas empresas, asociacións, Adminitracións Públicas e demais organismos adaptáronse a dita regulación xurídica… ou iso cren.

De verdade cumprimos coa protección de datos?

Que é a protección de datos?

Para dar unha explicación sinxela á vez que xurídica, podemos dicir que é o cumprimento da normativa citada no parágrafo anterior. Dita normativa regula, particularmente na Unión Europea, as normas relativas á protección das persoas físicas sobre o tratamento dos datos persoais e as normas relativas á libre circulación de tales datos.

Polo tanto, nun mundo cada vez máis globalizado, onde a información cada vez ten máis valor, e nun contexto absolutamente imparable de innovación tecnolóxica e de solucións tecnificadas a tódolos niveis, esta normativa ven a regular tanto que se debe facer para realizar un correcto tratamento da mesma, como crear un espazo común europeo para a súa circulación, e que se respeten os dereitos e liberdades dos cidadás europeos nesta materia.

Quen está obrigado a cumprir con ela?

En poucas palabras, TODOS, é dicir, todo o mundo que realice tratamentos de datos de carácter persoal, isto é: cidadáns e corporacións. Só que, no momento que saltamos á esfera persoal e privada, temos que ter en conta unha múltiple cantidade de requisitos e conceptos para que a nosa actividade no caso de autónomos e/ou as nosas empresas, asociacións, clubes, administracións… poden levar a cabo, e demostralo, un correcto cumprimento do RGPD.

proteccion-datos-privados

Como adaptarse correctamente a esta normativa? Unha autopista sobre o océano

Unha das maiores novidades que trouxo consigo o RGPD é o cambio de paradigma ou a forma de entender a concepción do que implica unha correcta adaptación e cumprimento da normativa. Este é o punto no que vou ser máis extenso porque, se comprendes ben este concepto, poderás entender ben nunha breve lectura toda a implicación do cambio.

Na regulación anterior, que no noso país tiña como base a famosa LOPD (Lei Orgánica de Protección de Datos de Carácter Persoal), podemos dicir que debuxaba un panorama como o seguinte: se vas por autopista, ten tres carrís:

  • Se a túa corporación é das que manexan soamente datos de carácter baixo (nivel baixo), tes que cumprir todos os preceptos esixibles para quenes realizan tratamento de nivel baixo. Non saias do carril e chegarás ao teu destino (é dicir: un correcto cumprimento da normativa de entón).
  • Se manexas datos de nivel medio, vai por dito carril e todo irá ben; ou vai polo carril de nivel básico para os tratamentos de nivel básico e todo correcto.
  • Por último, se realizas tratamentos de risco alto, debes ir polo terceiro carril e sen desviarte. Só poderás cambiar de carril se o nivel de risco é inferior.

Pois ben, co novo Regulamento sobre a mesa remataron as autopistas do cumprimeto. Por que? No artigo 24.1 desa norma recóllese:

“Tendo en conta a natureza, o ámbito, o contexto e os fins do tratamento, así como os riscos de diversa probabilidade e gravidade para os dereitos e liberdades das persoas físicas, o responsable do tratamento aplicará medidas técnicas e organizativas apropiadas a fin de garantir e poder demostrar que o tratamento é conforme co presente Regulamento. Ditas medidas revisaranse e actualizaranse cando sexa preciso.”

Imos explicalo:

  • Pódese “garantir e poder demostrar que o tratamento é conforme co presente Regulamento“. É dicir, non é algo abstracto ou relativo ao fin de contas. Como se fai isto?
  • Indícase que “o responsable aplicará medidas técnicas e organizativas apropiadas“, pero cales?
  • Isto é o que non se di: só se di que “tendo en conta a natureza, o ámbito, o contexto e os fins do tratamento, así como os riscos de diversa probabilidade e gravidade para os dereitos e liberdades das persoas físicas”, pero dito “ter en conta”, é unha valoración que hai que facer en cada caso, en cada momento, en cada situación e nunca é permanente para un caso concreto.

É por isto que querer pautar o cumprimento desta normativa en medidas concretas é o mesmo que construir unha autopista no océano: imposible, e seguramente non sexa nin práctico.

Por iso, podemos dicir que para un correcto cumprimento do RGPD temos que abordar esta realidade como dirixirnos ao noso destino por barco no océano, non por unha autopista con carrís ben marcados.

Agora ben, como se pode facer isto?

Teño que contratar os servizos de alguén para un correcto cumprimento?

Seguindo a argumentación da metáfora anterior: podes ir ao mar nunha embarcación só? Tal vez se vas pola orilla si, apenas vas correr riscos se apenas estás a algúns metros (non fai falta un capitán de barco para unha colchoneta, unha táboa de surf ou similar) aínda que, se non tes explicación previa, mellor contratar os servizos dun monitor que che axude.

Se xa comezas a ter maior responsabilidade e risco, alonxándote da beira e/ou posuindo unha embarcación de certo tamaño máis aló da embarcación do recreo, o mellor será contar cos servizos de persoal a bordo calificado.

Algo así é o máis sensato que debe ocorrer, na miña opinión, coa xestión da protección de datos nos nosos negocios e suxeitos susceptibles de responsabilidade profesional: ninguén que non teña os coñecementos, a experiencia, o tempo necesario, entre outras calidades, debería pilotar un barco nas augas tan complexas da normativa e dos vaivéns dos cambios que auga, vento e clima poden producir dun momento a outro.

proteccion datos personales scaled

Minimización de riscos

Por suposto que ninguén, dende o principio atribuido da boa fe, vai violar as leis a propósito. Pero caso distinto é correr riscos, sendo un deles violar a Lei sen querer ou sen saber, pero ditos supostos non nos exoneran da obriga de cumprir.

A maiores, existe outra dimensión relacionada, que é a xestión de riscos no que se refire ao cumprimento normativo. Sobre a protección de datos, igual que noutros ámbitos xa non só normativos, senón da vida mesma, non existe o risco cero. Ter risco cero é non emprender, non liderar un negocio, non exercer unha profesión. Non medrar. E iso, como é comprensible, non é posible.

Tanto os riscos internos, por erros propios, como os externos por ameazas de terceiros en maior ou menor medida intencionadamente, forman parte do proceso. Do que se trata é de tomar medidas técnicas e organizativas, desde o deseño e por defecto, para conseguir identificar o maior número de riscos posibles, minimizalos, ou canto menos minimizar o seu posible impacto, xa sexan potenciais ou reais.

Protección de datos “desde o deseño” e “por defecto”

No propio RGPD defínese, no artigo 25 e en outros, o concepto dunha protección de datos dende o deseño e por defecto. Que quere dicir?

  • Dende o deseño: dende a mesma concepción (decisión, política de empresa, estratexia, etc.), dun determinado tratamento de datos na corporación, debe terse en conta a dimensión “cumprimento en protección de datos”.
  • Por defecto: en todo momento, a protección de datos será unha variable a ter en conta e non pode saltarse, como norma xeral.

Dito noutras palabras: o anterior concepto de dispor dunha carpetiña na nosa oficina cunha inscripción de ficheiros inscritos nas Axencia Española de Protección de Datos (agora xa non se inscriben, por certo), acompañada dun documento de seguridade perenne xa non vale. Imos ter que facer máis cousas se queremos “demostrar” cumprimento das medidas técnicas e organizativas necesarias.

Delegado de protección de datos: necesítao o meu negocio ou institución?

Delegado de protección de datos (DPD); DPO, polas súas siglas en inglés, fai alusión a unha figura, que pode ser interna ou externa, que deben incorporar determinadas empresas e organismos, co fin de poder cumprir co RGPD, ademais de poder levar a cabo varios dos conceptos explicados anteriormente, se é que non todos. Dependendo da organización, debe nomearse obrigatoriamente; para outros casos, é recomendable.

Debe normearse a alguén cos suficientes coñecementos na materia, co fin de que no seu cometido poida ofrecer solucións, garantías e capacidade de resolución de incidencias.

A miña recomendación é que, se desexas saber se a túa organización necesita un nomeamento (que debe de producirse ante a Axencia Española de Protección de Datos, polo que ten carácter oficial), solicites que sempre se che informe por escrito, indicando as razóns de por que é obrigatorio, ou non, no teu caso.

Ter risco cero é non emprender, non liderar un negocio, non exercer unha profesión. Non medrar. E iso, como é comprensible, non é posible.

por-que-proteger-los-datos-personales

Que pode ocorrer se non? E as sancións por incumprimento?

Deste e doutros asuntos, para non cansarte máis despois deste artigo, comentarei nun futuro post, que espero que sexa do teu interese.

Conclusión

Para quen non remata de entender que é a protección de datos, ou quen non remata de ver a necesidade, ou non ter as ganas de abordar esta realidade no seu negocio ou posto de traballo… Gústame comparala co diñeiro.

Gústache falar de diñeiro? Ou do que podes conseguir con diñeiro? Ou de que inxustiza é que a alguén lle rouben o diñeiro que tanto lle costou gañar co suor da súa frente? O de un mesmo ou o de alguén cercano. Existen metas económicas no teu negocio?

Forman parte estas da consecución de obxectivos? Estableces medidas de seguridade no teu negocio para a súa protección, bo recado e aumento? Escolles aos teus empregados en función dos coñecementos nesta materia e ata lles brindas formación necesaria para que o fagan cada día mellor?

Pois ben, se temos en conta que o recurso máis valioso dunha corporación é a información (moitas veces máis incluso que a imaxe de marca dunha empresa), cres que agora podo falarche de algo que che interesa… e tanto?

Se chegaches ata aquí lendo, agradézocho, espero terche sido de axuda. Se non é así e casualmente chegaches aquí, ou eres das persoas que len só o inicio e o final para facerse unha idea do contido, comentarche que te entendo. Eu ás veces tamén o fago. Só dicirche que estou falando do futuro do teu negocio, tanto en termos estratéxicos como económicos. Se aínda así non vas ler, le só, por favor, o parágrafo anterior.

Moitas grazas polo teu tempo, que espero que fora para un maior proveito e inversión.

0 Comments

Submit a Comment

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *

Consulta las ayudas y subvenciones disponibles