Entrevista publicada en Red Seguridad en colaboración con el Data Privacy Institute de ISMS Forum.

¿Cuáles son las claves del nuevo Reglamento Europeo de Protección de Datos Personales para las empresas?

El principal beneficio es que tenemos un texto legal válido en toda la Unión Europea (UE). Es decir, que no hay interpretaciones ni respuestas exclusivamente nacionales sobre los principios de protección de datos. Las leyes nacionales generales van a desaparecer y en toda Europa vamos a contar con un reglamento con los mismos principios para todos. Algo que va a simplificar muchísimo la vida de las empresas.

Los principios relativos al tratamiento de datos personales no cambian mucho respecto a la anterior normativa, pero hay más detalles. La clave para las empresas será la necesidad de que exista un encargado del tratamiento, que será el responsable de demostrar el cumplimiento de los principios generales de protección de datos; es decir, la empresa debe garantizar la rendición de cuentas.

¿Cuáles son las diferencias más notables entre el Reglamento y la Directiva que deroga?

Entre los nuevos detalles a los que me refería, por ejemplo, ahora las empresas necesitan respetar un periodo de un mes para dar acceso a los datos personales de un individuo. Por otro lado, hay más detalles en cuanto las obligaciones sobre cómo informar y qué tipo de información hay que dar al individuo. También hay un derecho nuevo de portabilidad de datos personales, la obligación de notificar incidentes y, como decía, las empresas necesitan asegurarse de que sus procedimientos son compatibles con la norma.

Destaca del articulado del Reglamento la creación de una “ventanilla única” para atender a los ciudadanos y a las empresas. A efectos prácticos, ¿cómo tendrán que proceder los ciudadanos y las empresas para plantear reclamaciones u otras gestiones?

Para las personas no va a cambiar nada porque si un ciudadano tiene algún problema con la gestión de sus datos lo puede hacer a través de su agencia nacional de protección de datos.

Sin embargo, para las empresas internacionales el cambio será que a partir de ahora podrán hablar sólo con una agencia de protección de datos, no hará falta que lo hagan con todas. Hoy, si una empresa tiene establecimientos en toda la Unión Europea, necesita hablar con las 28 autoridades nacionales, que basan sus decisiones en diferentes conceptos. Con el nuevo Reglamento Europeo de Protección de Datos, una empresa española con su establecimiento principal en España pero que hace tratamiento de datos personales en otros países de Europa, necesitará únicamente hablar con la Agencia Española de Protección de Datos, no con la de Irlanda, Alemania…

Es una manera de facilitar y simplificar el tratamiento de datos personales en toda Europa, porque necesitamos empresas que lleven a cabo este negocio sin muchas barreras legales.

No obstante, tras la creación de esa “ventanilla única”, ¿ante quién tendrán que responder aquellas empresas u organismos que incumplan el nuevo Reglamento Europeo de Protección de Datos?

Si el tratamiento se lleva a cabo en el lugar del establecimiento principal, sólo hay que hablar con la autoridad nacional. Por ejemplo, una empresa con sede principal en España, pero que está presente en otros Estados Miembros de la UE, sólo necesita negociar con la agencia de protección de datos nacional. La agencia nacional es la que está obligada a hablar con sus socios en otros países de la UE para adoptar una decisión uniforme, armonizada, frente a un problema con el tratamiento.

En caso de que se cuestione la decisión de una autoridad nacional de protección de datos por parte de otro país, ¿cómo se dirimirá el asunto en esta cuestión?

En el Reglamento hay un mecanismo según el cual si una autoridad nacional supervisora toma una decisión sobre una empresa y otra autoridad nacional no está de acuerdo, se reúne al resto de autoridades de protección de datos para dirimir la cuestión. Es lo que se llama Consejo Europeo de Protección de Datos, que puede decidir de manera uniforme cómo solucionar el problema en cuestión y cada autoridad nacional tendrá que seguir este dictamen.

¿Qué medidas van a tener que implementar las empresas para proteger sus datos?

Esta cuestión está relacionada con el concepto de rendición de cuentas. Es el responsable de protección de datos quien decide cómo debe asegurarse de cumplir el reglamento. Este responsable tendrá que efectuar un análisis de riesgos y utilizar las medidas de seguridad que crea necesarias; pero el Reglamento no le indica qué debe hacer de manera específica, sino que como resultado garantice el cumplimiento de sus principios.

¿Qué sucede con aquellas empresas que operen fuera de la UE con los datos de ciudadanos pertenecientes a ella?

El Reglamento tiene un nuevo ámbito territorial porque se va a aplicar también a las empresas que no están establecidas en la UE, pero desarrollan actividades de tratamiento relacionadas con la oferta de bienes o servicios en la UE. Es decir, las empresas fuera de la UE necesitan también aplicar el Reglamento.