José Carlos Erdozain, director de la Asesoría Jurídica de PONS IP, introdujo su intervención con una recomendación general a las empresas: “el nuevo RGPD exige que la cultura de la protección de datos se convierta en parte intrínseca de toda la actividad de las compañías, demandando para ello una mayor responsabilidad y esfuerzo por parte de todo tipo de organismos”.
Por su parte, Paula García, abogada experta en protección de datos de PONS IP, destacó entre los cambios introducidos por el reglamento el del principio de responsabilidad activa al que deberán someterse todas las organizaciones que tratan datos de carácter personal, con independencia de su tamaño. También la nueva definición del consentimiento de las personas a la hora de recabar sus datos, exigiéndose un acto afirmativo claro por su parte. “Las empresas tendrán que poder probar que el usuario ha dicho “sí”. Habrá que analizar si en todos los casos esto pasa por marcar una casilla o si habrá situaciones que se puedan interpretar como de consentimiento expreso”, explicó García.
En esa línea, José Carlos Erdozain, director jurídico de PONS IP, abordó una de las cuestiones que más inquieta a los empresarios: ¿Estoy obligado a renovar los consentimientos ya obtenidos para el tratamiento de los datos? El responsable del área jurídica de PONS IP cree que “debe primar la prudencia, revisando si los consentimientos anteriores se ajustan a la nueva normativa. En caso contrario o ante la duda, recomienda renovarlos para evitar sanciones, que también se han endurecido con la nueva regulación. «Debemos pensar que el RGPD ya no admite el silencio o la inacción de las personas como una forma de consentimiento”, aseguró.
Durante el encuentro también hubo espacio para debatir sobre una de las medidas más llamativas del Reglamento: la necesidad de implantar un Delegado de Protección de Datos (DPO) en las compañías que traten datos de carácter personal. Según aclararon los ponentes, el DPO no será necesario en todos los casos aunque sí estarán obligados a contar con él las autoridades y organismos públicos (a excepción de Tribunales), así como aquellas organizaciones que realicen un tratamiento a gran escala de categorías especiales de datos.
Entre las empresas consideradas como “casos especiales” por la sensibilidad de los datos que manejan se confirmó que en el caso de las entidades de publicidad y prospección comercial, centros sanitarios, redes y servicios de comunicaciones electrónicas, aseguradoras, distribuidores y comercializadores de energía eléctrica y colegios profesionales, entre otras, necesitarán implantar la figura del DPO.
También se recordó a los ponentes que este Reglamento introduce nuevos derechos, como el derecho al olvido, el derecho a la portabilidad y la nueva regulación de los derechos ARCO, de Acceso, Rectificación, Cancelación (que ahora se define como supresión) y Oposición. Todas estas novedades implican un mayor dinamismo e importancia de la Protección de Datos en la UE, obligando a las entidades a tenerla muy en cuenta desde el diseño de sus planes estructurales y de negocio. Además, el reglamento también afecta a empresas no ubicadas en el territorio de aplicación si éstas ofrecen bienes y servicios a ciudadanos residentes en dicho territorio. Quedan por matizar algunos aspectos que, según confían los expertos, desarrollará la futura Ley Orgánica de Protección de Datos española, que presumiblemente no se aprobará antes de la aplicación del Reglamento.
Para poder acceder al contenido de la Jornada, está disponible el vídeo completo en nuestro canal de Youtube: https://youtu.be/Z-q51TO9kGA