La nueva normativa europea de protección de datos prevé sanciones de hasta 20 millones

Fernando Fernández, Pablo Baquero, Fernando Fernández-Kelly y Gaizka Aralucea, ayer, en Oviedo. /  D. MORA
Fernando Fernández, Pablo Baquero, Fernando Fernández-Kelly y Gaizka Aralucea, ayer, en Oviedo. / D. MORA

Pricewaterhouse Coopers ahondó en los requisitos del reglamento, que entrará en vigor el 25 de mayo, ante decenas de empresas asturianas

A. COLLADO OVIEDO.

El reglamento general de protección de datos europeo, nacido para unificar de manera clara los marcos normativos de los países miembros de la UE, se aprobó en 2016, pero entrará en vigor el 25 de mayo de 2018. A las empresas asturianas solo les quedan seis meses de los dos años de plazo iniciales para adaptarse a los nuevos requisitos. Si no lo hacen, se enfrentarán a sanciones que pueden alcanzar el 4% de la cifra total de negocio de la compañía en cuestión o los 20 millones de euros. Así que no fueron pocas las que ayer mostraron interés por el profundo análisis jurídico y los consejos al respecto que ofrecieron los expertos de Pricewaterhouse Coopers en la Cámara de Comercio de Oviedo.

La ley orgánica que hasta ahora regulaba la protección de datos en España es de 1999 y, veinte años después y debido a la velocidad a la que se desarrollan las nuevas tecnologías, no responde a las necesidades de tratamiento de la cantidad de información ingente que se genera en la actualidad. «Se calcula que cada persona está generando datos a través de cinco fuentes distintas», explicó el director de PwC Tax&Legal Services, Pablo Baquero.

El asociado senior de la auditora, Fernando Fernández, detalló algunos de los puntos de interés de una norma con poco más de 90 artículos y 173 considerandos, lo que da una idea de la importancia del cambio que supone. Fernández explicó que la nueva norma se ha desarrollado con un enfoque basado en la autoevaluación de los riesgos específicos para el cliente. Cuenta, pues, con el compromiso de las organizaciones de autoanalizarse, de estudiar qué riesgos tiene el tratamiento de datos para sus clientes y de decidir la puesta en marcha de los controles pertinentes. Como novedades, destacó el ámbito de aplicación internacional, el hecho de que el consentimiento tácito «deje de ser un mecanismo válido», la necesidad de analizar e informar de la base legitimadora del tratamiento (sea a través de una relación contractual, del consentimiento explícito o de un interés legítimo), el derecho a no ser objeto de decisiones únicamente basadas en tratamientos automatizados, la obligación de notificar las brechas de seguridad en 72 horas y la limitación del plazo de conservación de los datos.

Pretende unificar de manera clara los marcos legales de los países de la UE

Además, como luego también hiciera el supervisor de PwC Auditores, Gaizka Aralucea, explicó los nuevos requisitos de cumplimiento de la norma. Entre ellos, la obligatoriedad de la figura del delegado de protección de datos (DPO), el derecho a la portabilidad de los datos, el derecho al olvido o las evaluaciones de impacto, entre otros. Aralucea se refirió también a la gestión proactiva de las medidas de seguridad y a la anonimización del cliente, que implica el uso de algoritmos y métodos específicos.

Fotos

Vídeos