Representación en España

Protección de datos: "El 25 de mayo fue un día histórico"

/spain/file/gardnerweb1jpg-0_esgardner_web1.jpg

Eric Gardner participó de las jornadas sobre el nuevo Reglamento General de Protección de Datos (RGPD) en la Representación de la Comisión Europea en España
Eric Gardner participó de las jornadas sobre el nuevo Reglamento General de Protección de Datos (RGPD) en la Representación de la Comisión Europea en España

Tras un encuentro sobre el Reglamento General de Protección de Datos (RGPD) en nuestra sede, entrevistamos a uno de los promotores del evento, Eric Gardner de Béville, experto en la materia.

08/06/2018
El 25 de mayo, un grupo de directivos, abogados y otros profesionales participaron en nuestra sede en un encuentro sobre el Reglamento General de Protección de Datos (RGPD) organizado por el Foro Internacional de Abogados de Empresa (FIDADE) y por la Representación de la Comisión Europea en España. Entrevistamos a uno de los promotores del encuentro, Eric Gardner de Béville, fundador de FIDADE, experto en selección de personal y en protección de datos y abogado internacional.
 
La conferencia se estructuró en torno a tres mesas redondas que ofrecieron un panorama completo en tres aspectos esenciales: «Recursos Humanos», en lo que se refiere a la identificación de los datos personales; «Informática» para el tratamiento de estos datos; y «Aspectos jurídicos» para la protección de los mismos.
 
Según Gardner, el nuevo RGPD tiene un carácter extraordinariamente innovador, progresivo y global: «Es la primera vez en la historia de la humanidad que una norma jurídica tiene por objeto proteger la intimidad personal de los ciudadanos mediante disposiciones previstas para aplicarse dentro de uno, diez o cien años y más aún. Estas normas no solo protegerán a los 520 millones de ciudadanos de  la Unión Europea, sino también, a largo plazo, a todos los usuarios de internet del planeta, que, según el instituto Internet World Stats, son ya más de 4 000 millones».
 
Pregunta: Las jornadas que precedieron a la entrada en vigor del nuevo RGPD estuvieron marcadas por envíos masivos de correos invitando a los ciudadanos a «permanecer conectados». ¿No le parece excesivo?
Respuesta: Es excesivo, pero es humano. En su introducción, el director adjunto de la Agencia Española de Protección de Datos (AEPD) hizo un llamamiento a la calma. Obviamente, hay que pedir a los destinatarios su «consentimiento explícito» como exige el nuevo RGPD, pero puede hacerse según las distintas modalidades que establece el propio RGPD. También quiso enviar un mensaje tranquilizador aclarando que los inspectores de la AEPD no estaban en posición de salida y preparados para inspeccionar las sedes de las empresas el mismo 25 de mayo para cazar infractores. Y destacó particularmente la utilidad para las empresas de documentar, con precisión y de manera interna, todo lo relativo a la situación real de la empresa y los procedimientos en preparación o ya aplicados para garantizar el cumplimiento de la normativa. Por mi parte, creo que es preciso evaluar detenidamente todos los aspectos ya que a veces «lo mejor es enemigo de lo bueno», por lo que advertí del peligro de «facilitar la tarea de los inspectores» documentando un eventual incumplimiento del RGPD. El recurso a un experto en la materia o a un abogado que garantice la protección del secreto profesional puede en algunos casos ser la solución más aconsejable.
 
P: ¿Qué conclusión podemos sacar de la jornada en lo que respecta a los recursos humanos? ¿Están equipadas las empresas para afrontar el reto que se plantea?
R: La mesa redonda sobre recursos humanos ha puesto de relieve la importancia de la nueva figura del Responsable de Protección de Datos (RPD) o Data Protection Officer (DPO). Es el protagonista principal del RGPD y el perfil que corresponde a casi  60 000 nuevos puestos de trabajo en España y 80 000 en Francia derivados de la aplicación del RGPD, según las estimaciones de la AEPD y de la CNIL, eso por no hablar de los casi 1 000 millones de euros de ingresos que se generarán para el sector tecnológico francés, según Les Echos. El nombramiento de un RPD es obligatorio en determinados casos y facultativo en otros. Será obligatorio en tres casos: cuando el tratamiento de datos personales corresponda a una autoridad u organismo público; en caso de «seguimiento periódico y sistemático» a «gran escala» de los interesados; o en caso de tratamiento a gran escala de datos «particulares», es decir sensibles, como son los datos relativos a la salud o a infracciones o condenas. El tamaño de la empresa no es un elemento relevante: una PYME de tres personas cuya actividad sea el tratamiento de datos sanitarios debe designar un RPD. Sobre la importante cuestión de la conveniencia o no de externalizar la función de RPD o la recogida, tratamiento y protección de datos personales, hubo división de opiniones sobre el coste adicional que supone para las PYME, el hecho de que «el dictamen de un asesor externo suele ser más tenido en cuenta que el de alguien de la casa» y la idea de que el RGPD plantea un cambio de mentalidad profundo que refleja una nueva «moral de empresa». El recurso a un experto externo puede ser muchas veces una medida inmediata, eficaz, rentable y tranquilizadora.
 
P: ¿Cuándo es necesario que las empresas se planteen disponer de un sistema de protección de datos?
R: La mesa redonda sobre «informática», compuesta por representantes de Google, Hewlett-Packard, Microsoft y Capgemini hizo hincapié en el artículo 25 del RGPD y en los datos «desde el diseño» y «por defecto». A pesar de su redacción compleja, dicho texto garantiza que la protección de las personas con respecto a sus datos personales debe hacerse tanto en el momento de la determinación de los medios del tratamiento como en el momento del propio tratamiento, y que, por defecto, solo sean objeto de tratamiento los datos estrictamente necesarios. Esta obligación se aplicará a la cantidad de datos, a su período de conservación y a su accesibilidad. Además, los datos personales no deben ser accesibles a un número indeterminado de personas.
 
P: ¿Es realista el plazo de 72 horas para prevenir a las autoridades de control competentes de una violación de datos personales?
R: El plazo es el que es y será preciso atenerse a él, esta fue la opinión compartida por los profesionales de la mesa redonda. Los sistemas informáticos internos y los procedimientos de gestión deberán adaptarse a él. En cambio, el debate fue más intenso sobre cómo interpretar «después de haber tenido conocimiento».
 
P: ¿Están preparados los Estados? ¿Han hecho lo necesario para que el RGPD pueda aplicarse?
R: En el ámbito de la protección de datos personales, la mesa redonda «Aspectos jurídicos» destacó la incertidumbre resultante del hecho de que, si bien el RGPD es directamente aplicable desde el 25 de mayo, solo Alemania, Austria y Reino Unido han aprobado leyes nacionales sobre la aplicación del RGPD. Está claro que, legalmente, el RGPD no necesita legislación nacional para ser aplicable localmente, sin embargo, las leyes locales permiten una buena armonización con otros textos. En el caso de Francia, el proyecto de ley se está debatiendo y en lo que se refiere a España, el proyecto existe, pero no está aún listo para ser votado. Los juristas han señalado la confusión general que existe desde hace dos años que se habla del RGPD haciendo hincapié en la protección de datos personales, mientras que el Reglamento establece claramente que es «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos». El punto central es la persona física y no los datos personales. Se trata de proteger a las personas contra el uso indebido de sus datos personales. Esto no deja de suscitar cuestiones de conciencia en cuanto al papel de los abogados de empresa y la protección de las personas jurídicas, esto es, de las empresas.
 
P: ¿Cree que serán efectivas las sanciones?
R: La mesa redonda sobre aspectos jurídicos abordó también el tema de las sanciones. El RGPD establece las siguientes: 10 millones de euros o el 2 % del volumen de negocios, o bien: 20 millones de euros o el 4 % del volumen de negocios, en función de la «gravedad» de la infracción. Se hizo hincapié en el hecho de que, si bien 20 millones de euros puede parecer mucho en términos absolutos, representa en realidad solo el 4 % en valor relativo de un volumen de negocios de 500 millones de euros, cantidad que resulta insignificante comparada con los volúmenes de negocios (en 2016) de, por ejemplo, LVMH (EUR 37 000 millones), Orange (EUR 41 000 millones) o Renault (EUR 51 000 millones), por no hablar de Google (79 000 millones de dólares), Amazon (130 000 millones de dólares ) o Apple (215 000 millones de dólares). ¡Una multa del 4 % del volumen de negocios de Apple representaría 8 600 millones de dólares! Como para pensárselo antes de tomarse el RGPD a la ligera.