Entrevistamos a Alejandro Martínez Méndez, Abogado Especialista e IT y Compliance, con ocasión de su reciente nombramiento como Director del área de Derecho digital, IP y Privacidad de Metricson Barcelona.
- Acaba de incorporarse a Metricson, ¿podría presentarnos brevemente Metricson y cuál es su target de clientes?
Metricson es una firma de servicios jurídicos integrales especializada en negocios tecnológicos y de Internet con sede en Barcelona, Valencia y Madrid. Desde 2009 ayuda a empresas de todo el mundo a desarrollar y proteger su actividad de forma global y con todas las garantías legales.
- Su incorporación va destinada a reforzar el área de IT y Compliance del despacho. Ahondando en ello ¿qué considera que puede aportar su incorporación a la firma?
Mi objetivo principal es situar a Metricson en la punta de lanza de todos los retos tecnológicos y legislativos con los que nos encontramos en la actualidad. La realidad en este sector es tan cambiante y evolutiva que nos obliga a formarnos constantemente y a adaptarnos para poder ofrecer un servicio de calidad a nuestros clientes.
- ¿Por qué el recién publicado Reglamento General de Protección de Datos supone un cambio drástico en el panorama de la privacidad y su protección? En definitiva ¿cuál es su alcance?
El nuevo Reglamento cambia el foco, si la LOPD se centraba en aspectos más formales (ficheros, auditorías bianuales…), el RGPD promueve medidas de evaluación y seguimiento continuas que afectan a todos los trabajadores implicados en el tratamiento de datos. Es decir, se nos va a pedir que acreditemos que nuestra organización mantiene actualizados todos los principios y necesidades que el Reglamento establece, en lugar de la documentación formal debidamente cumplimentada.
Así mismo, se amplía su ámbito geográfico ya que ahora aplica también al tratamiento de datos fuera de la Unión Europea.
Del mismo modo, se refuerza el catálogo de derechos de los usuarios y se amplía el abanico de datos que pasan a ser considerados sensibles, adaptándose así a nuestra realidad actual.
- Se viene constatando desde múltiples instancias y foros la existencia de cierto grado de desconocimiento y pasividad por parte de muchas empresas a la hora de prepararse para la entrada en vigor a pocos meses vista del RGPD. ¿A qué achaca ello?
En mi opinión, esto es debido a que durante mucho tiempo se ha visto la protección de datos como una obligación legal que se debía simplemente acatar para evitar sanciones y no como un elemento más de la cultura y valores de la organización.
El objetivo del RGPD, según el principio de responsabilidad proactiva o accountability por el que se rige, es incorporar el cuidado de la información personal al día a día de la filosofía empresarial, como proceso vivo y en constante evolución.
- ¿Cómo afectará el nuevo Reglamento a las empresas?
Les va a obligar a revisar todos sus procesos, a realizar análisis de riesgos y evaluaciones de impacto para determinar cómo han de adaptarse al nuevo Reglamento y a los nuevos requisitos y figuras que contempla (como por ejemplo, el delegado de protección de datos o DPO). Sin duda se trata de un proceso que debe realizarse de forma progresiva y esmerada, por eso se ha otorgado el plazo de dos años desde la aprobación del texto hasta su obligado cumplimiento.
- Entre sus principales novedades cabe destacar que este Reglamento crea específicamente la figura del Delegado de Protección de Datos (DPO). ¿Considera necesaria una regulación adicional para terminar de perfilar jurídicamente el ámbito competencial, funciones y responsabilidades que ha de asumir esta figura?
Creo que más que perfilar los aspectos que comentas, es necesario definir mejor los requisitos básicos para ser DPO, es decir, determinar cuáles deben ser los conocimientos previos a nivel normativo y del negocio en sí mismo para poder desarrollar satisfactoriamente el trabajo. Desde mi punto de vista, estos requisitos no se han concretado lo suficiente para poder ofrecer garantías tanto a los profesionales como a las organizaciones.
- ¿Considera que el aumento en la cantidad de las sanciones que contempla el Reglamento confiere a este un carácter punitivo y restrictivo?
El incremento intenta ser más un elemento disuasorio que punitivo. El hecho de que afecte a un tanto por ciento del volumen de negocio total anual global del ejercicio financiero anterior, intenta adaptar dicha sanción a la realidad de cada una de las organizaciones y por tanto, que no pueda ser un riesgo fijo cuantificable de base y asumido por la misma.
De esta forma, sobretodo, las grandes corporaciones ven elevado su riesgo proporcionalmente a su tamaño, ajustándose a la realidad de las mismas.
- Acabamos de conocer la multa que la AEPD ha impuesto a Facebook. En este sentido, una vez entre en vigor el RGPD ¿sólo afectará a responsables de actividades de tratamiento de datos personales establecidos en la UE, o también puede alcanzar a los establecidos fuera de la Unión?
Efectivamente, esa es una de las grandes novedades que nos aporta el Reglamento. A partir de ahora los efectos del RGPD no recaerán solo sobre los responsables de fichero y encargados de tratamiento que tengan sede física en la UE, sino también, y ahí radica la novedad, sobre aquellas organizaciones que aunque no residan en la UE realicen un tratamiento de datos a interesados que sí residan en la UE, siempre y cuando dicho tratamiento esté relacionado con que la oferta del bien o servicio se encuentre en la Unión Europea, o afecte al control de su comportamiento, en la medida que este tenga lugar en la UE.