GPDR

El famoso RGPD o GRPD entró en vigor el 25 de mayo de 2018. Aunque, en realidad, el nuevo Reglamento General de Protección de Datos se había aprobado mucho antes. Sin embargo, su entrada en vigor pareció encontrar a la mayoría de empresas poco preparadas. Según se acercaba la fecha, la mayoría de nosotros sufrió una verdadera avalancha de emails a la caza y captura de nuestro consentimiento expreso para seguir enviándonos comunicaciones. A lo largo de los últimos 12 meses, hemos visto cómo en España se han dictado 434 sanciones económicas y 377 apercibimientos relacionados con el RGPD. En toda Europa, la recaudación obtenida a través de multas y sanciones relativas al RGPD supera ya los 55.000 euros.

Un año después, nos sentamos a hacer balance. Lo hacemos, como siempre, desde el punto de vista de la gestión de riesgos legales y el cumplimiento normativo. Y con la ayuda de Amaya Chaparro, una de nuestras abogadas expertas en Gestión de la Seguridad de la Información (SGSI).

Un año del GDPR: hablando en positivoHABLANDO EN POSITIVO…

Dejando de lado por unos momentos la queja improductiva y fácil en la que muchas veces caemos en distintas facetas de nuestras realidades personales y profesionales.

Nos gustaría realizar un repaso positivo pero realista de la actividad normativa impulsada por el legislador en los últimos años, sin que por ello cerremos los ojos a áreas de mejora que sin duda vendrán a futuro, tanto en materia de privacidad como en materia de cumplimiento normativo en general.

RECONOCIMIENTO AL GDPR Y A LA LOPD-GDD

Habiendo transcurrido el primer año desde la entrada en vigor del GDPR, el pasado 25 de mayo, desde Grupo Vadillo Asesores echamos la mirada atrás a 2018 y a lo acontecido durante el último año y medio.

Visualizamos la vorágine y las prisas de última hora de las entidades más rezagadas que mostraron su interés por realizar la adecuación o readecuación de sus actividades de tratamiento a los cambios normativos introducidos en materia de Protección de Datos de Carácter Personal.

Con ellos, las dudas interpretativas iniciales en cuanto a conceptos amplios y poco definidos en muchos de los Considerandos y del articulado de esta norma europea.

Otras organizaciones en cambio, mostraron su interés y fueron precavidas solicitando una adaptación progresiva en lo que consideraban más importante, las cláusulas informativas, las políticas de seguridad aplicando el criterio de responsabilidad proactiva, la actualización de contratos de acceso a datos por cuenta de terceros a entregar a sus proveedores para la firma y lo que resulta más novedoso, el temido y preocupante “Análisis de riesgos” y la “Evaluación de Impacto de Privacidad” para aquellos tratamientos de datos que pudieran ocasionar un grave impacto en el derecho a la privacidad de las personas titulares de los datos.

Se introduce poco a poco con el GDPR, el enfoque de gestión del riesgo en esta materia. Asimismo, se consolida, armoniza y se da la seguridad jurídica necesarias, instaurando su aplicación efectiva y creando los sistemas de gestión de privacidad, siendo para los equipos de expertos consultores, una consecuencia lógica y necesaria de la evolución normativa en la línea del cumplimiento normativo que se está imponiendo a nivel internacional.

Según se van publicando, las Guías y Publicaciones elaboradas por las autoridades de control, se va aportando luz a conceptos jurídicos indeterminados que de forma vivaz se analizan y aplican en la práctica por los equipos de expertos en consultoría especializada.

Las personas interesadas por su parte van tomando mayor conciencia de sus derechos analógicos y digitales en cuanto a la autodeterminación de los propios datos como se desprende de la Memoria de la AEPD de 2018 recientemente publicada.

Se trabaja por identificar, analizar y solucionar brechas de seguridad, con la ayuda de organismos e instituciones especializados, destacando INCIBE, Basque Cybersecurity Center y otros tantos.

Se habla de la obligación de introducir canales de comunicación internos, las autoridades nacionales de control crean listados no cerrados de tratamientos de información personal susceptibles de provocar un impacto en los datos a tener en cuenta por las organizaciones.

En el último año nos hemos cuestionado más que nunca la aplicación de conceptos ya cotidianos que se han colado en las organizaciones como el consentimiento, interés legítimo, …

Se empodera al profesional consultor especializado en el conocimiento de esta normativa y se da relevancia, autoridad e independencia en sus funciones con la ceración de la figura del Delegado de Protección de Datos, en una profesión hasta este momento muchas veces postergada, denostada y muchas veces infravalorada.

Por todo ello,

DESDE GRUPO VADILLO ASESORES QUEREMOS RECONOCER A LAS ORGANIZACIONES PREOCUPADAS POR SUS RIESGOS EN PRIVACIDAD

Este reconocimiento viene dado en consideración al esfuerzo que ha supuesto para estas organizaciones, el cambio de enfoque pasando de un cumplimiento formal de pizarra escrita a un enfoque de gestión proactiva y de pizarra en blanco de uno de sus riesgos trasversales corporativos, como es, en materia de seguridad de la información y más concretamente el que afecta a la privacidad de sus grupos de interés.

No es casualidad que estas organizaciones muestren rasgos de seriedad, compromiso para la consecución de comportamientos alineados a sus valores, misión y visión corporativos.

Se trata de organizaciones interesadas por conocer las áreas de mejora, debilidades y amenazas que afectan a otras materias de cumplimiento normativo relacionadas con la gerencia de riesgos corporativos: riesgos relacionados con las personas, riesgos específicos en base a la actividad social que desempeñan, riesgos medioambientales, etc.

Nuestro agradecimiento para aquellos casos en los que estas organizaciones nos habéis permitido acompañaros.

Comparte este artículo:

Abrir chat