La evaluación de riesgos es clave en las empresas para cumplir con la nueva normativa de protección de datos
Fundación Inade ha celebrado una nueva sesión de los Diálogos 2020, que ha analizado las nuevas obligaciones de los empresarios según el Reglamento Europeo de Protección de Datos (REPD). Para ello se contó con la participación de Marcos López, profesor del área de Derecho Civil de la UDC, quien aseguró que “la evaluación de riesgos es la medida más importante que deben
implementar las empresas para dar cumplimiento a la normativa”.
Respecto de los principios aplicables al tratamiento de datos, el profesor indicó que están “establecidos en el artículo 5 del RGPD” y que, “en esencia, se corresponden con aquellos principios que informaban el tratamiento en la LOPD”. Estos principios son: de calidad; de consentimiento (antes denominado de licitud); de lealtad; de información (antes, de transparencia); de responsabilidad proactiva (antes, de seguridad); y de secreto.
El profesor puso de relieve lo que considera que es una de las características del Reglamento: su inconcreción, afirmando que éste “se halla plagado de conceptos jurídicos indeterminados, así como de remisiones a las futuras legislaciones de los Estados miembros”. Otra cuestión sobre la que llamó la atención López es que, “tanto el Reglamento como la LOPD extienden su ámbito de protección a las personas físicas, lo que planteaba dudas respecto de los datos de profesionales liberales”. La Agencia Española de Protección de Datos (AEPD) suplió este vacío legal estableciendo que, si los datos procedían de una relación profesional, quedaban excluidos de la regulación establecida en la LOPD. Sin embargo, como señaló el profesor, “en el Anteproyecto de la que será la nueva Ley de protección de datos, el régimen cambia ya que deja de estar excluido”. No obstante, establece que “no es necesario el consentimiento de los interesados”. Así, en virtud del principio de licitud, señaló el ponente que “el consentimiento ha de ser inequívoco y será el empresario quien deberá probar que se prestó dicho consentimiento”.
El principio de la responsabilidad proactiva supone un cambio de paradigma en el sistema de protección de datos. “Se pasa de un procedimiento de protección ex ante, a otro que se va a producir ex post”. Será la autoridad de control la que, ante denuncia o investigación de oficio, entrará a valorar si se cumplen las medidas necesarias. Así, será el responsable del tratamiento quien decida la aplicación de unas u otras dependiendo de los riesgos asumidos.
El RGPD recoge una serie de medidas que deben ser aplicadas por los responsables del tratamiento de los datos. La primera es una evaluación de riesgos. La segunda es el registro de las actividades del tratamiento, un libro diario donde se recogen los aspectos básicos del tratamiento (con carácter general las empresas de menos de 250 trabajadores están exentas). La tercera es la protección desde el diseño y por defecto.
