«Las empresas se la juegan con el uso de los datos», artículo de Alejandro Touriño, socio director de ECIJA, para la revista Capital.
La primavera pasada, tras varios años de intenso debate a nivel europeo, resultó aprobado el Reglamento Europeo de Protección de Datos, lo que supondrá la existencia, por primera vez en la historia comunitaria, de una misma norma en materia de protección de datos para los 28 países de la Unión.
Este nuevo régimen normativo, que resultará exigible a partir de 2.018, responde fundamentalmente a los avances tecnológicos experimentados en los últimos años en el contexto de la sociedad de la información y, entre otros, al auge de nuevos modelos de negocio y a los novedosos tratamientos de información realizados. Tendencias tecnológicas como el Big Data, el Business Intelligence o el Internet de las Cosas han cambiado radicalmente cómo los sujetos nos relacionamos con las empresas y cómo éstas utilizan la información que nosotros les proporcionamos, desde nuestro nombre o nuestro número de cuenta bancaria hasta nuestra ubicación geográfica, nuestros patrones de comportamiento o nuestras preferencias comerciales, políticas o de cualquier otra clase.
Pero el campo de oportunidades que presenta la tecnología implica también para las empresas un enorme reto. En primer lugar, el del cumplimiento de la norma con el propósito de evitar sanciones, que se elevan ahora hasta la cifra de los 20 millones de euros o, en su caso, un 4% del volumen total de facturación de la empresa a nivel mundial.
En segundo lugar, se plantea el reto corporativo de aportar valor en el tratamiento de los datos de los usuarios, de la mano de la adopción de medidas destinadas a implantar una mayor cultura de la privacidad y la protección de los datos.
Uno de los puntos a tomar en consideración en ese ámbito es la designación del DPO (Data Privacy Officer), figura de obligada creación para la gran mayoría de empresas, que velará por el control y cumplimiento de la normativa en materia de protección de datos. Este responsable será designado de acuerdo con sus conocimientos especializados y su práctica en la materia, pudiendo formar parte de la plantilla de la empresa o desempeñar sus funciones desde fuera de la misma en el marco de un contrato de prestación de servicios.
Ese DPO deberá, entre otras tareas, velar por la realización de evaluaciones de impacto en materia de protección de datos y de adoptar las medidas concretas para determinar los riesgos que puede conllevar un determinado tratamiento de datos para la privacidad de los afectados.
A él se le asignará también el cumplimiento del concepto de “protección de datos desde el diseño”. El Reglamento obligará a las empresas a adoptar, con carácter previo al tratamiento de los datos, y durante el mismo, las medidas legales, técnicas y organizativas que resulten necesarias para evitar el acceso y divulgación de la información, incluyendo aquéllas referentes a sistemas de información, diseño e infraestructura de red y la implantación de códigos de buenas prácticas y estrategias de cumplimiento normativo en la empresa.
Todo lo anterior va en la línea de reconocer la mayoría de edad de las empresas en materia de cumplimiento, reforzando el compromiso de éstas con la normativa de protección de datos y la privacidad de sus usuarios, adoptando medidas cada vez más adecuadas a los riesgos asociados, a una mejor gestión de crisis e incidencias, así como a la implementación de los mecanismos que garanticen la seguridad, confidencialidad e integridad de los datos personales que se traten.
Nos encontramos, en definitiva, no sólo ante el enorme reto de garantizar el cumplimiento normativo en el seno de la organización sino de adoptar estrategias y metodologías que permitan aportar confianza y valor a los usuarios en un entorno altamente cambiante y competitivo.
