El evento contó con la participación especial el Director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez.

El Data Privacy Institute (DPI) de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum, ha elaborado el “Estudio de impacto y comparativa con normativa española de la propuesta de reglamento de protección de datos de la UE”, con el objetivo de ofrecer un análisis de la nueva regulación, que previsiblemente entrará en vigor en 2014.

El estudio incluye los detalles de los aspectos regulados en esta normativa comunitaria, el resultado de su comparación con la normativa española vigente y el posible impacto sobre las entidades públicas o privadas españolas.

Debido al alcance de los cambios y lo vital que resulta para la mayoría de las empresas el cumplimento de la normativa de privacidad, el DPI recomienda a la empresas elaborar una evaluación de impacto y adelantarse a los cambios, fundamentalmente mejorando su nivel de madurez frente a la normativa actual, que sólo el 48,5 % afirma cumplir adecuadamente en su totalidad, según Inteco. Las empresas que no estén preparadas, tendrán que realizar fuertes inversiones y enfrentarse a cambios profundos en su organización o posibles sanciones cuantiosas que podrían poner en peligro la propia supervivencia de la empresa.

Acto de presentación

El Estudio fue presentado en un encuentro que reunió autoridades y profesionales (Día, Ecix Group, Endesa, IE Law School, Mapfre, Metlife) en torno a la reforma de la normativa de protección de datos de la UE. Se contó con la participación especial de José Luis Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos (AEPD), quien valoró que “este estudio es imprescindible porque para poder adaptarse, lo primero que hay que hacer es evaluar el impacto normativo. Y eso desgraciadamente en España no tiene tradición”.

Por su parte, Carlos Alberto Saiz, Vicepresidente de ISMS Forum y Subdirector del DPI, agradeció su participación a los 26 colaboradores y 4 coordinadores que han elaborado el Estudio; y destacó que, como Asociación abierta, “con este trabajo queremos fomentar un debate y reflexión sobre donde nos lleva el futuro Reglamento de la UE”. “Seguimos abiertos a quien quiera colaborar”, concluyó.

Sanciones más duras

En general, la reforma integral de la normativa de privacidad presentada recientemente por la Comisión Europea, que se encuentra en fase de discusión en las instituciones comunitarias, intensifica la responsabilidad y la obligación de rendir cuentas de todos aquellos que traten datos personales y endurece las sanciones. En este sentido, el informe del DPI destaca que “la cuantía económica en caso de vulneración de la norma tendrá, en todos los supuestos, un impacto realmente alto. Si además nos focalizamos en que el grado o nivel sancionador más elevado deriva del mayor número de hechos o situaciones que suponen una infracción estamos ante un endurecimiento general de la normativa en materia de protección de datos”. Así se establecen unos importes bastante elevados para sanciones graves, hasta 1.000.000 € o 2% del volumen de negocio mundial.

La nueva norma, destaca el estudio, establece al responsable del tratamiento, la obligación de implementar medidas adecuadas que permitan demostrar su cumplimiento. Así deberán generar toda la documentación sobre los tratamientos que realizan, realizar un análisis de riesgos de seguridad de la información, y establecer procedimientos y estándares para articular el cumplimiento, por medios que permitan su acreditación posterior, de las distintas obligaciones (evaluaciones de impacto, designación del delegado de protección de datos, auditorías independientes, etc.).

“La condición de responsables o encargados por cuenta de terceros, sin duda tendrán que hacer un ejercicio de adaptación que se no reduzca a la mera asunción técnica de preceptos. Antes bien, igual que la Sociedad ha interiorizado la Protección de Datos, el Reglamento pide y exige esa misma interiorización a las Entidades públicas y privadas, que tendrán que mostrar y demostrar su responsabilidad ante esta materia de forma continuada y sostenible”, aseguran los autores.

Aplicación uniforme

Por otro lado, a diferencia de la existente, la nueva normativa redunda en favor de la aplicación territorial de la normativa europea de protección de datos personales a responsables de tratamiento de datos no establecidos en la UE. De este modo, todas las empresas que operan en territorio europeo, deberán cumplir la normativa, tengan donde tengan su sede, y podrán ser sancionadas, al igual que las empresas europeas.

El Reglamento refuerza la posición del interesado, como titular de los datos, y pone el énfasis más importante en la implantación y aplicación en la práctica. Por ello, las empresas tendrán que hacer un esfuerzo mucho mayor que el actual para garantizar el adecuado tratamiento y cumplimiento de la normativa, teniendo en cuenta que además ésta será de aplicación directa en todos los países de la Unión Europea y presentará un nuevo marco legal para todas las empresas que gestionan datos personales, que representan una gran parte del tejido empresarial español.

Derecho al olvido

Tal y como comentó en la pasada Jornada Internacional de ISMS Forum (link a video), el Supervisor Europeo de Protección de Datos, Peter Hustinx, el énfasis más importante de la reforma se encuentra en la implantación y aplicación en la práctica. Por lo que se ha querido dotar de mayor “efectividad” y “consistencia” a la norma, además de procurar su armonización para todos los estados de la UE y su actualización al nuevo panorama tecnológico, marcado por un desarrollo exponencial de Internet. Por ello, se incide en una extensión de los mecanismos para ejercer el derecho al olvido y portabilidad para todos los ciudadanos europeos, gracias a los cuales se facilitará hacer desaparecer su rastro personal de Internet, con una mayor facilidad.

Desde el punto de vista de las empresas, el trabajo destaca que crea nuevas obligaciones para las empresas y tendrá costes asociados, por ejemplo, la inclusión de la necesidad de comunicación respecto al derecho al olvido.

El estudio DPI

El Data Privacy Institute (DPI) de ISMS Forum Spain recogió la sensibilidad de muchos de los socios de la Asociación y su interés por profundizar en cómo va a influir la futura normativa europea en materia de Protección de Datos, que vendrá a sustituir a la Directiva 95/46/CE. Este estudio ha contado con la participación de un grupo de expertos de primer nivel, que no sólo querían exponer su opinión, sino que querían compartir su conocimiento y experiencia con el resto de socios y con la sociedad en general.