«Día de la Privacidad: en la recta final del proceso de adecuación a la nueva normativa europea», tribuna de Daniel López, socio de ECIJA, para Cinco Días.
A menos de cuatro meses de la plena aplicación y por tanto exigibilidad del Reglamento General de Protección de Datos, por todos son conocidos los retos legales a los que nos enfrentamos en el ámbito del tratamiento de datos personales. Tras una fase de análisis de cómo impacta la normativa europea en el ámbito de las empresas, las conclusiones obtenidas pueden ser muy variadas, pero quizás todas ellas tengan un denominador común: el Reglamento Europeo supone un cambio en la forma en que los datos son tratados y por tanto explotados dentro de nuestro modelo de negocio.
Así las cosas, junto con el reto de regularizar los tratamientos que, a la fecha, se están realizando, bien por la forma en que fueron obtenidos, y por tanto la legitimación para su tratamiento (por ejemplo aquellos que se basaron en un consentimiento tácito), bien por la actualización de los requerimientos establecidos en el derecho de información, u otros aspectos que debamos considerar.
Este trabajo a abordar no sólo implica un cambio de clausulados, sino un conocimiento más exhaustivo del funcionamiento de la empresa y sus objetivos. En este sentido, la definición de las finalidades de tratamiento, aspecto que incide en la obtención del consentimiento y la información a facilitar, implica una visión transversal de la empresa. Y es que, deberemos considerar, no sólo las finalidades actuales, sino usos futuros que podamos dar a los datos personales que vamos a tratar.
Este reto puede ser entendido como un problema o como una oportunidad para regularizar los flujos de datos que estamos realizando y, por tanto, aportar la seguridad jurídica necesaria teniendo en cuenta el origen del dato (directamente del propio interesado, una fuente accesible al público, derivado de una cesión de datos), aquellos prestadores del servicio que puedan intervenir en su tratamiento durante las diferentes fases (obtención, almacenamiento, explotación o conservación, entre otras), las áreas de la propia empresa que intervienen en el mismo o los flujos de información a nivel corporativo dentro de una determinada estructura empresarial.
En este sentido, deberemos abordar aspectos como la definición del establecimiento principal, que incidirá directamente en la relación con la Autoridad de Control, y en cuya designación deberán tenerse en cuenta parámetros, no sólo mercantiles y fiscales, sino sobre la capacidad de decisión sobre los tratamientos o el volumen de datos tratados. Tal y como reconoce el propio Grupo de Trabajo del Artículo 29, debe afrontarse caso a caso, no pudiendo estandarizar o generalizar un procedimiento único para todas las empresas, máxime en aquellos casos en los que se produzcan flujos transfronterizos, en su vertiente de trasferencia internacional de datos (por ejemplo en aquellos casos que la matriz no se encuentre dentro de la Unión Europea), o en relación con los tratamientos trasfronterizos en el ámbito de la Unión, es decir, dónde se tratan realmente los datos y de quién se están tratando, aunque no tengamos establecimiento en dicho país.
Este conocimiento profundo de la estructura organizativa y el modelo de negocio posibilitará también, el redefinir determinados roles o accesos a los datos personales, así como inventariar, no sólo los procesos de tratamientos de datos, sino los propios sistemas de información que son empleados por los departamentos concretos. Un aspecto que en ocasiones no se encuentra centralizado en un área de seguridad o sistemas, teniendo la posibilidad los propios departamentos de contratar y utilizar determinadas herramientas directamente.
(…)
Haga clic aquí para acceder a la versión completa del artículo.
