PROTECCIÓN DE DATOS

El impacto del Reglamento General de Protección de Datos de la UE sobre el cumplimiento normativo y el buen gobierno

Tribuna
Joao-Claro_EDEIMA20170713_0003_1.jpg

Con la fecha del 25 de mayo de 2018 en el horizonte, el RGPD (Reglamento General de Protección de Datos) de la Unión Europea está en la mente de todos. Ese día entrará en vigor la Regulación EU 2016/679 sobre Protección de Datos, que tiene como objetivo fortalecer y unificar la protección de datos para todos los individuos y empresas de la Unión. 

Los gestores de los programas de buen gobierno y cumplimiento normativo tienen responsabilidades relacionadas con el RGPD al manejar datos que incluyen información personal sobre los miembros de los Consejos de Administración, así como sobre la documentación que en ellos se maneja. Por lo tanto, deben estar muy atentos a esta nueva normativa. En este artículo abordamos la manera de prepararse para hacer compatible la necesaria transparencia que lleva implícita cualquier programa de buen gobierno con la protección de los datos personales y empresariales.   

Los principios del RGPD

El RGPD demanda, en primer lugar, que los datos personales que una empresa conserva sobre su personal, proveedores y clientes sean guardados de manera segura, conservando la fuente original, con rigurosidad, durante el tiempo estrictamente necesario, con la protección adecuada en caso de transferencia a otros países o servidores y que sean procesados y gestionados de acuerdo con la legislación vigente.

Los cambios que incluye el Reglamento bucan el equilibrio entre los derechos de protección de datos de las personas y las obligaciones de las empresas en cuanto a la gestión de los datos que guardan sobre ellas. El Reglamento no olvida tampoco un régimen de multas, que pueden llegar hasta los 20 millones de euros. 

Aquí es donde entra en juego la responsabilidad relacionada con el programa de buen gobierno, una de cuyas premisas es la grabación y conservación de la documentación de los Consejos de Administración, así como de la cadena del proceso de la toma y ejecución de las decisiones en los mismos. En este sentido, cualquier compañía asume el papel de “controlador” o “procesador” de datos y, por lo tanto, necesita revisar sus prácticas para preparar el RGPD.

Una de las cuestiones a tener en cuenta es que la GDPR introduce la obligación de que algunas empresas nombren un responsable de la protección de la información, ya sea un empleado o consultor externo. Esta figura tiene la responsabilidad de monitorizar el cumplimiento de la GDPR, informando a los trabajadores de sus obligaciones y de las medidas, términos y plazos que deben cumplir.

Un buen punto de partida

El primer paso cuando procesamos los datos de los miembros del Consejo de Administración es definir la legalidad del proceso en función de las condiciones del RGPD y asegurar las garantías en lo referido a:

– Consentimiento del sujeto a quien se refieren los datos.

– Establecimiento de un contrato con los datos del sujeto.

– Establecimiento del cumplimiento de las obligaciones legales.

– Protección de los datos de vital interés de los datos del sujeto o de terceras personas.

– Definición de los documentos o datos de interés público o necesarios para el ejercicio de la autoridad oficial de control.

 – Definición de los datos necesarios para fines de interés legal de la empresa o de una tercera parte.

A la hora de diseñar el programa de cumplimiento normativo hay que tener en cuenta que la nueva Ley marca como requisito explícito el hecho de que las empresas diseñen cada nuevo proceso o producto teniendo en cuenta la privacidad como un aspecto central. Esto es lo que se conoce como privacidad por diseño.

El contrato debe tener esto en cuenta y una manera de hacerlo es definir correctamente todos los tipos de datos que se gestionan y guardan, así como la localización del alojamiento (hosting), la transferencia de información y los detalles de terceras partes, la seguridad de la información, el tiempo durante el que los datos se guardan, el propósito que tiene conservar esos datos y los permisos para su protección.

Otro buen punto de partida es asegurar la protección informática de los datos que la empresa custodia. En este sentido, una norma de referencia es la ISO 27001, que certifica si la empresa o el organismo gestor de los datos está dotado de sistemas y procesos extremadamente robustos de gestión de datos. La certificación ISO 27001 significa que las medidas de seguridad están establecidas tanto en un entorno de software –los permisos de acceso y gestión a los programas de cumplimiento normativo-; en los centros de datos en los que se almacena la información; como también en las personas y procesos que se gestionan. Un ejemplo de esto último son los permisos de acceso a edificios y sistemas informáticos que impiden intromisiones de personas no autorizadas.

La gestión del derecho al olvido

Un aspecto novedoso del RGPD, que va más allá de las consideraciones de seguridad, es el relativo al derecho al olvido. Si hablamos de buen gobierno y cumplimiento normativo, hay ocasiones en que está justificado decir “usted no puede borrar la documentación relativa a un individuo en el entorno de un Consejo de Administración, porque podría necesitarla por motivos fiscales o por razones críticas para el negocio”.

Los responsables del Consejo de Administración tienen la última palabra sobre la información que desean almacenar, pero siempre deben tener en cuenta los datos que necesitarán en caso de una auditoría y también aquella que garantiza la necesaria transparencia en lo referente a las prácticas de buen gobierno. Por ejemplo, un buen programa de cumplimiento normativo necesita guardar los votos de las decisiones que se toman en el Consejo de Administración. Estos datos deben quedarse grabados en el sistema para demostrar el histórico de las decisiones que se toman y en qué se basan esas decisiones con objeto de depurar responsabilidades en caso necesario.

Otro nuevo derecho es la portabilidad de datos, que requiere que el controlador proporcione los datos de forma estructurada, en un formato electrónico común que sea legible por ordenadores. Por último, cabe destacar que la Ley no sólo es de aplicación para todas las empresas de Europa, sino también para empresas internacionales que gestionen datos de usuarios residentes en la Unión Europea.

En conclusión, estos cambios en cuanto a la protección de datos reflejan el hecho de que los procesos que pasan a través del software forman parte en la actualidad de nuestro día a día tanto en el plano personal como empresarial. La regulación muestra que, el uso de soluciones que incluyen las últimas medidas de protección marcadas por la ley, en las que los datos pueden ser gestionados y protegidos más fácilmente. es preferible al uso de métodos que no aporten la suficiente seguridad.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación