El Colegio de Madrid aborda en una jornada el nuevo reglamento de Protección de Datos

El Colegio de Mediadores de Seguros de Madrid celebró, el pasado 8 de marzo en su sede, una jornada sobre el nuevo reglamento de Protección de Datos. David Harvey, director de la Consultora Harvey & Lluch Consultores, fue el encargado de explicar las cuestiones más relevantes de la norma, así como de resolver todas las dudas de los asistentes.

Según expuso Harvey, el reglamento se aplicará a todos los actores de la mediación, agentes y corredores, así como a las propias compañías de seguros. Además, se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. En este punto, Harvey afirmó que habrá que tener “especial atención a las empresas con las que trabajamos y colaboramos y están alojadas fuera de la UE”.

Para Harvey, uno de los aspectos más importantes del reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos, conocido como responsabilidad activa. En este sentido, las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que la norma establece. El reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el reglamento prevé una batería completa de medidas: protección de datos desde el diseño; protección de datos por defecto; medidas de seguridad; mantenimiento de un registro de tratamientos; realización de evaluaciones de impacto sobre la protección de datos; nombramiento de un delegado de protección de datos; notificación de violaciones de la seguridad de los datos; y promoción de códigos de conducta y esquemas de certificación.

Por otro lado, Harvey explicó que el reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora. En primer lugar, algunas de las medidas que introduce el reglamento son una continuación o reemplazan a otras ya existentes. Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos. En todos los casos, el reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos. Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

Asimismo, con relación al consentimiento, Harvey comentó que el reglamento pide, con carácter general, que “sea libre, informado, específico e inequívoco”. Para poder considerar que el consentimiento es inequívoco, el reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. En ese sentido, las empresas deberían revisar la forma en la que obtienen y registran el consentimiento; prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el reglamento sea de aplicación. Además, la norma prevé que el consentimiento haya de ser explícito en algunos casos, como en el caso de autorizar el tratamiento de datos sensibles. “Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión”, indicó Harvey. También, hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

El reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos. Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado. Muy importante este último punto a la hora de traspaso de todos los datos vinculados a una póliza de una compañía a otra.

Por último, con relación a si los mediadores deben revisar sus avisos de privacidad, Harvey explicó que el reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos, si creen que hay un problema con la forma en que están manejando sus datos. “Es importante recordar que el reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso”, apuntó. Las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las autoridades de protección de datos.

Compartir:Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

No Replies to "El Colegio de Madrid aborda en una jornada el nuevo reglamento de Protección de Datos"