Gimeno Compliance

Primeras impresiones tras el aterrizaje del RGPD en las Organizaciones

Primeras impresiones tras el aterrizaje del RGPD en las Organizaciones

14/06/2018

En Confilegal

 

Ha transcurrido menos de un mes desde que el RGPD entró formalmente en nuestras vidas, es decir, se dejaba atrás el plazo establecido de dos años como margen para su directa aplicación, plazo que en muchas ocasiones ha actuado como una “vacatio legis” puesto que no se ha sabido aprovechar de la manera que se estableció desde Europa, es decir, con la finalidad de que en las Organizaciones se fuese materializando la ejecución de los principios del RGPD y el nacimiento del necesario cambio de mentalidad en cuanto al tratamiento de los datos personales de los ciudadanos.

 

Según comentaba Mar España, Directora General de la Agencia Española de Protección de Datos, la aplicación del RGPD ha tenido como resultado un “bombardeo” de correos electrónicos que, debido a un defectuoso asesoramiento y a una mala praxis del RGPD, no debieron enviarse atendiendo a lo indicado claramente en los olvidados  Considerandos del RGPD.

Todo ello ha derivado en una  respuesta de histeria no pretendida, bajo el lema “hay que enviar un email pidiendo el consentimiento, porque si no, no estaremos cumpliendo con el RGPD”, pero “¿realmente estos correos electrónicos eran necesarios?”

Este error tan a primera vista insignificante jurídicamente hablando, ha tenido como consecuencia que miles de empresas hayan perdido sus bases de datos al no haberse otorgado por parte de los ciudadanos la mencionada renovación del consentimiento.

Y ahora, pasado el dia 25, con el RGPD formando parte del “listado” de normas a cumplir por las Organizaciones y resaltando la necesidad de cambiar de mentalidad en cuanto al tratamiento de los datos personales de los ciudadanos , ¿qué debemos hacer? ¿qué retos se nos plantean?

En primer lugar, cabe señalar que la aplicación del RGPD en las organizaciones ha tenido como primer efecto  relevante el nombramiento de la figura del Data Protection Officer (DPO), regulada en el artículo 37 y ss y renombrado en los mencionados Considerandos de la norma, haciendo hincapié en que los DPO, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

Obviando las características profesionales que debe ostentar un DPO, las cuales se han plasmado en diversos informes del Grupo de Trabajo del articulo 29 ya desde el año 2016, hay que destacar el hecho de que expresamente se haga referencia a cualidades personales tales como la integridad, alta ética profesional, capacidades de comunicación, habilidades personales y de empatía, así como capacidad para fomentar la cultura de protección de datos en las organizaciones.

Resulta fundamental destacar el hecho de que, unido al desarrollo de las no “sencillas” funciones del DPO, el gran reto de esta figura que se erige en la práctica como “el protector del dato dentro de las organizaciones”, es el adecuado posicionamiento dentro de la empresa para poder desempeñar sus funciones, y para ello las compañías deben apostar por su inclusión en el seno de la misma. Como efecto directo al nombramiento del DPO, se va a producir un cambio en la estructura organizativa, al incluirse un ente con capacidades decisivas y plena independencia en sus funciones, tal y como indica el RGPD: “Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente” “El sitio” del DPO en las Organizaciones a los efectos de garantizar el cumplimiento del RGPD está vinculado al término “accountability” o responsabilidad proactiva, basado en la máxima “no solo hay que cumplir también hay que acreditar que se cumple“.

 

Enlace: http://www.legaltoday.com/blogs/nuevas-tecnologias/blog-ecija-2-0/primeras-impresiones-tras-el-aterrizaje-del-rgpd-en-las-organizaciones