El pasado sábado 25 de mayo se cumplió un año de la aplicación del Reglamento europeo General de Protección de Datos (RGPD). Este hecho ha supuesto un auténtico tsunami normativo en toda la Unión Europea y nuevas obligaciones para las empresas que pertenecen a la misma.

En estos momentos las empresas se encuentran ante la necesidad de analizar y revisar los nuevos requerimientos en relación a la protección de la información de carácter personal. Hablamos tanto de proteger los datos no automatizados (papel) como de datos automatizados (informáticos/digitales).

La información personal no es propiedad de la empresa. Aunque los datos estén en nuestros archivos, cajones, ordenadores o servidores informáticos, solo tenemos la posesión temporal de los mismos para conseguir una finalidad específica. No podemos disponer de los datos según nuestras necesidades sin pedir permiso. Se tiene que informar y recoger el consentimiento de los afectados para poder tratarlos legalmente sin exponernos a ser sancionados.

Internamente, existe un efecto positivo colateral al implementar la normativa. El hecho de configurar nuevos protocolos en nuestro negocio para adaptarnos a la normativa de protección de datos personales nos servirá para ser más eficientes en la defensa y protección de activos intangibles fundamentales de nuestra mercantil. Por ejemplo, me refiero al fondo de comercio, creaciones intelectuales, know-how, etc.

A nivel externo, la buena imagen que reciben los terceros que se relacionan con nuestra entidad cuando perciben que estamos adaptados a la LOPDGDD y al RGPD, es un valor añadido. De hecho, ya aparece esta obligación como un requisito para poder optar a adjudicaciones en algunas licitaciones públicas.

Para tratar legítimamente los datos, minimizar el riesgo de sanción, aumentar la calidad de nuestra imagen empresarial y proteger con más seguridad los activos intangibles, es recomendable que su entidad realice una valoración de la aplicación de las obligaciones de protección de datos requeridas por la normativa europea y española, entre las cuales destacamos:

  • Auditoría y análisis de riesgos de los tratamientos llevados a cabo por su entidad.
  • Legitimación de los tratamientos de datos personales.
  • Análisis de las “fuentes” de recogida de datos efectuada por su entidad.
  • Elaboración de documentación interna de protección de datos como, por ejemplo, el Manual de Protección de Datos con las normas de seguridad de privacidad que tienen que conocer todos los trabajadores.
  • Redacción de los anexos contractuales de protección de datos con proveedores.
  • Análisis sobre la necesidad de denominar un Delegado de Protección de Datos.
  • Estudio y análisis en relación con sus BBDD y comunicaciones comerciales.

Alberto Cuesta.

Abogado y auditor de entornos tecnológicos URECA-Legal.