El pasado 1 de febrero, en el marco del IX Foro de la Privacidad del Data Privacy Institute (DPI) organizado por ISMS Forum Spain, máximos expertos, representantes institucionales y empresas se dieron cita para abordar la aplicabilidad del Reglamento General de Protección de Datos (RGPD) y otras cuestiones relacionadas con el impacto en la privacidad de las personas, producto del desarrollo de las nuevas tecnologías. Entre los ponentes más destacados, la directora de la Agencia Española de Protección de Datos (AEPD), Mar España; la subdirectora de la Unidad de Protección de Datos de Comisión Europea, Karolina Mojzesowicz; o el secretario de privacidad de la ONU, Joseph Cannataci. En el plano empresarial, empresas como HPE, Huawei o CaixaBank abordaron el impacto y la aplicación del nuevo Reglamento en su actividad.
El discurso inaugural de la directora de la Agencia Española de Protección de Datos, Mar España, giró en torno a la importancia de establecer una cultura preventiva y expuso las implicaciones que conllevará el nuevo Reglamento, con aplicación en España en mayo de 2018, así como el trabajo desarrollado por la Agencia para preparar y apoyar a las empresas en su proceso de adaptación. En este sentido, señaló Mar España, el primer borrador del anteproyecto de ley que modificará la actual Ley Orgánica de Protección de Datos, previsto para el próximo mes de marzo, tendrá como objetivo preparar y facilitar a las empresas para la aplicación del cambio que acontece. Todo ello, una apuesta firme de la Agencia en busca de flexibilidad, facilitando la resolución de conflictos de una manera amistosa, evitando las sanciones innecesarias y buscando el beneficio de las distintas partes implicadas. Además, las empresas que reconozcan su responsabilidad y voluntariamente cumplan el régimen sancionador podrán obtener una reducción de hasta el 40%.
En todo su discurso, Mar España remarcó la cercanía que mantiene con asociaciones empresariales del sector como ISMS Forum Spain, organización con la que mantiene un grupo específico y un canal de comunicación directo con el sector empresarial.
Desde Comisión Europea, Karolina Mojzesowicz, recordó algunas de las novedades en relación al nuevo Reglamento, como la unificación en una única normativa aplicable a todos los países miembro y por el que todas las empresas que ofrezcan bienes y servicios deberán ceñirse a esta única normativa europea, reduciendo así la competencia con empresas de una menor exigencia en materia de privacidad. Asimismo destacó que, en caso de un Data Breach, las empresas tanto públicas como privadas, tendrán la obligación de notificar a autoridades y clientes del suceso.
Del papel a la práctica
A continuación, tuvo lugar una mesa redonda en la que los DPO`s de las compañías Hewlett Packard Enterpise, Huawei y Caixabank, debatieron sobre los problemas prácticos que pueden suponer la implantación de algunos artículos del Reglamento Europeo de Protección de Datos. Aspectos que preocupan al sector como el estrecho margen de 72 horas para la notificación de un data breach, el deber de información o la actualización de los consentimientos.
En relación a la externalización de servicios, todos coincidieron en la necesaria corresponsabilidad y la gestión de riesgos de terceros. En palabras de Pablo Díaz de CaixaBank, “no nos podemos permitir el riesgo de contratar a un proveedor que no cumpla con el GDPR”.
