La Agencia Española de Protección de Datos ya ha avanzado algunas cuestiones que van a ser relevantes para cumplir con el nuevo Reglamento de Protección de Datos y así ha publicado una serie de recomendaciones/sugerencias/reflexiones que pueden ser útiles para aquellas empresas que quieran ir adelantando los deberes.
- El consentimiento: nuestra actual legislación admite el consentimiento tácito en algunos casos. Sin embargo el nuevo Reglamento establece claramente que el consentimiento deberá consistir en una expresión clara de la voluntad lo que hace que éste sea, cuanto menos inequívoco.
Aunque pueda parecer prematuro prepararse para una norma a la que le quedan dos años para comenzar su andadura, no es mala idea revisar los formularios de recogida del consentimiento para adaptarlos, solicitando siempre el consentimiento no sólo inequívoco sino, en aquellos casos que sea posible, expreso y por escrito cuando el medio lo permita. Estamos pensando fundamentalmente en cambios en las webs, habilitación de apartados específicos, botones para aceptar y en aquellos casos en los que se esté recogiendo el consentimiento para distintas finalidades, separar éstas habilitando botones o casillas que podrán ser marcadas en función de la finalidad de que se trate. Por ejemplo, no es lo mismo recoger el consentimiento para gestionar una compra online que para la cesión de los datos a otras empresas . Actualmente se incluye todo en el mismo saco sin que en la mayoría de las ocasiones el interesado sea consciente de que está firmando un cheque en blanco con sus datos. - Algo similar sucede con las cláusulas de información: el nuevo Reglamento exige informar sobre nuevos aspectos: tiempo de conservación de los datos (en la medida que sea posible), destinatarios de los datos, información sobre el Delegado de Protección de Datos, entre otras cuestiones.
Una recomendación es hacer una revisión de las cláusulas de información actúales para detectar qué aspectos podrían ser incorporados ya y cuáles no (por ejemplo, el tiempo de conservación de los datos). - Relaciones de encargo de tratamiento: la Agencia Española de Protección de Datos ha adelantado que está trabajando en unas recomendaciones sobre el contenido que el contrato de encargo de tratamiento. Para aquellas relaciones de encargo que hayan de perdurar en el tiempo, será aconsejable incluir los aspectos a que se refiere el nuevo Reglamento en su artículo 28.
- Evaluaciones de impacto: una novedad que se incorpora a nuestro sistema y que no tiene por qué esperar a 2018, especialmente por la complejidad que puede suponer para determinados tratamientos. Si en los próximos dos años, en el seno de la empresa, se van a poner en marcha acciones que supongan tratamiento de datos a gran escala o dentro de los parámetros que establece el propio Reglamento para realizar dichas evaluaciones, convendría adelantarse y realizar este análisis.
- Certificaciones y DPOs: Está previsto en el Reglamento que existan entidades certificadoras pero de momento no hay nada al respecto. En cuanto a la posible certificación del DPO, la Agencia lo ha descartado pues existen otros mecanismos de formación que pueden proporcionar los conocimientos necesarios al Delegado de Protección de Datos sin que la certificación deba ser obligatoria. No obstante, dada la responsabilidad que el Reglamento atribuye a esta figura, el responsable deberá asegurarse que su DPO cuenta con los conocimientos y experiencias suficientes para hacer frente a sus obligaciones.
En la última jornada de puertas abiertas de la Agencia Española de Protección de Datos, su Directora confirmó que ya se está trabajando en una Nueva Ley de Protección de Datos que concrete aspectos que el Reglamento no ha tratado y que lógicamente sea acorde con aquél.
Seguiremos informando de estas novedades.
Comentarios
No hay comentarios