La nueva Ley que se denominará Ley de Protección de Datos y derechos digitales de los ciudadanos, la necesidad de ser proactivo en las brechas de seguridad del sector legal, la protección de la portabilidad de datos, la obligatoriedad del RAT o la necesidad del Delegado de Protección de Datos en las entidades españolas son cinco cuestiones claves que los expertos subrayan a la hora de aplicar la normativa que ha entrado en vigor el 25 de mayo.
Nunca antes una aplicación normativa había causado una expectación tan destacable y el motivo no es otro que la afectación de la norma a todos los países y ciudadanos del mundo. Un aspecto que subrayaba José Luis Piñar, Catedrático y ex director de la Agencia Española de Protección de Datos, durante la jornada práctica organizada por Formación Lefebvre – El Derecho y el Centro de Estudios Financieros. En palabras de Piñar, se trata de una ´novedad histórica´.
Asimismo, la autoridad en materia de protección de datos subrayaba que después del Reglamento Europeo llegará la aprobación de la ley ´probablemente a final de año´. Una ley que hasta la fecha tiene un total de 30 enmiendas, entre las que se encuentra el límite de edad de los menores que puede oscilar entre los 14 y 16 años. "El legislador nacional no puede transcribir en el BOE normas de un reglamento a leyes nacionales y de ahí que deberá tener en una mano el reglamento y en otra mano, la Ley de Protección de Datos, primando siempre el reglamento antes que la ley", concluía José Luis Piñar, actual DPO del Consejo General de la Abogacía Española.
En la jornada, Cecilia Alvarez, Presidenta de APEP, destacaba que la figura del DPO es clave en protección de datos tanto para autónomos como para despachos de abogados. "Los DPO son una figura obligatoria en otros países europeos. Nuestro reto es pensar que el DPO no es sólo compliance. Para la presidenta de la Agencia de Protección de Datos “no hay entidades que se puedan permitir no tener un DPO".
Otra de los cambios analizados con el citado reglamento ha sido la obligatoriedad del Registro de Actividades del Tratamiento (RAT). A partir de la aplicación del RGPD, el RAT será obligatorio en empresas de más de 250 empleados y aquellas que realicen tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los individuos. Para Marcos Judel, Abogado y Socio de Audens, es lógico que "estemos obligados a cumplir y a demostrar que cumplimos y el RAT nos va a servir para verificar tratamiento por tratamiento si se pueden minimizar los datos”. De hecho, gracias al reglamento se acabaron los 'depredadores telefónicos'. "El interés legítimo tiene que estar al mismo nivel que los derechos fundamentales del interesado" a criterio de Judel.
Además, de la importancia del reglamento en el ámbito privado, en la Jornada se hacía referencia al reglamento respecto a la Administración Pública analizada con la intervención de, Iñaki Vicuña, Director del CENDOJ y ex director de la Agencia Vasca de Protección de Datos.
España es, según Iñaki Vicuña, "uno de los países con mayor sensibilidad en lo que respecta a la protección de datos gracias a las autoridades de control, y, por tanto, el nivel de seguridad de los datos en la Administración española es muy alto".
La jornada formativa se completaba resaltando aspectos como la obligatoria demostración de los datos, del cumplimiento del tratamiento adecuado de datos ante la AEPD, las necesidades de bloquear las brechas de seguridad en el sector legal y la necesidad de notificación a los interesados y a los destinarios cuyos datos hayan sido tratados.
Entre los consejos prácticos de Noemí Brito, socia de Legistel y Vocal de la Junta directiva de ENATIC, está la necesidad formativa para cumplir el reglamento. A su juicio, "además de implantar protocolos de notificación serán necesarios plantear formaciones transversales con temáticas como ciberseguridad".
Noemí Brito también hacía referencia a la portabilidad como derecho de acceso avanzado que debe contemplar una doble tipología de derechos. Un derecho que debe distinguirse del derecho de supresión. Un consejo para los profesionales de la protección de datos es, según Brito, que "cuando se tenga que hacer una portabilidad se haga a su vez un documento al responsable receptor a modo de registrar su cumplimiento".
A este respecto hay que subrayar que la finalidad principal del RGPD es proteger el derecho fundamental a la protección de datos de carácter personal, así como el derecho de supresión, derecho a la limitación del tratamiento y derecho a la portabilidad de los datos. Por esto, Lefebvre – El Derecho, la editorial líder jurídica en España, ha elaborado Compliance Protección de Datos una guía para realizar la planificación, implantación y mantenimiento del Sistema de Protección de Datos.
En palabras de José Luis Piñar, director técnico de la línea de Compliance de Protección de Datos de Lefebvre ·El Derecho es imprescindible destacar que todo el proceso de adecuación requiere además de un “cambio de mentalidad con la ayuda de un profesional, por tanto, la figura del DPO será imprescindible para demostrar que se cumple con el reglamento de protección de datos.
Si está interesado en adquirir la formación de referencia, puede obtener más información aquí: http://lp.efl.es/formacion/formulario-curso-cef-led/