Jesús Medina Jaranay:"La protección de datos ha pasado desde el pasado 25 de mayo por un “tsunami” legislativo"

El próximo 25 de mayo se cumple 1 año de la aplicación del Reglamento General de Protección de Datos en España. Hemos conocido que DATAGESTIÓN con despachos en Granada y Málaga ha sido nombrada Delegado de Protección de datos de los Colegios Profesionales de Economistas de Granada y Córdoba. En opinión de su director gerente, Jesús Medina Jaranay

• En primer lugar, quisiéramos conocer cuales han sido las instituciones públicas y privadas para las que DATAGESTIÓN es nombrada Delegado de Protección de Datos y las razones para este reconocimiento.

En nuestro caso la totalidad de los nombramientos como DPD se han producido a raíz de la promulgación de la Nueva Ley Orgánica de Protección de Datos. Su artículo 34 ha incluido varios supuestos de obligatoriedad, que el Reglamento no contemplaba. De esta forma, hemos sido nombrados DPD de los Colegios de Economistas de Granada y Córdoba. Por otro lado, la obligación de contar con un DPD de las Federaciones Deportivas ha llevado a, entre otras, que recibamos el nombramiento de DPD del Cádiz, C.F. Empresas de venta on line, con segmentación de datos y Clínicas son otros de nuestros clientes.

•  ¿Cuál es su cometido como Delegado de Protección de Datos en instituciones privadas como clubes deportivos?

 La primera tarea cuando llegamos es de concienciación sobre la importancia de la protección de datos en la entidad y los beneficios que conlleva una adecuada política en la materia. Intentamos involucrar a todas las personas de la organización con acceso a datos. A partir de ahí es más fácil establecer políticas y protocolos sobre los flujos de datos y sus tratamientos. El seguimiento del cumplimiento de estas tareas es fundamental, con lo cual establecemos revisiones periódicas.

 ¿Cuál es su principal responsabilidad como DPO en los Colegios de Economistas de Andalucía que ha mencionado?

Los Colegios Profesionales, frente a entidades de otro tipo o empresas, tienen el factor diferencial de contar con profesionales, a menudo con sólidos conocimientos jurídicos en la materia. Ello nos lleva a que la primera medida sea detectar las inquietudes de estos, respondiendo cumplidamente a sus preguntas. A menudo estas vienen relacionadas con sus propios datos, y la utilización que el Colegio hace de ellos. También de sus propios clientes.

 Después de un año, hemos conocido sanciones millonarias en Portugal y Austria. Sin embargo, no existen sanciones en España. ¿Las empresas españolas están actuando correctamente o deben reforzar las pautas de la normativa para prevenir  futuras sanciones?  Y por otra parte, ¿Considera que los abogados están correctamente formados para aplicación correcta del reglamento?

Ciertamente las empresas españolas deben reforzar sus políticas de protección de datos. No tanto por el temor a las sanciones, que también, sino por posibles reclamaciones de clientes, proveedores o público en general. A menudo se olvida que el RGPD introduce el “derecho a la indemnización”, que ostenta el titular de derechos personales cuando sufra una vulneración en sus datos. En cuanto a la preparación de los abogados, estimo que no es la suficiente. Estamos ante una materia muy especializada, en continuo cambio, asociada a un cambio tecnológico que se multiplica. El abogado tiene bastante con la actualización en los campos de su especialización.

• ¿Qué herramientas aconseja que deberían utilizar las empresas para garantizar el correcto cumplimiento del RGPD y evitar sanciones?

Existen herramientas informáticas que facilitan mucho la adaptación a la normativa. Como la propia de Lefebvre. A través de ellas, podremos tener una guía y catálogo de las medidas en protección de datos. Registros de actividades, contratos de encargo de tratamiento, leyendas, etc. son elementos precisos que vienen sistematizados en estas herramientas. Las empresas españolas deben reforzar sus políticas de protección de datos. No tanto por el temor a las sanciones, que también, sino por posibles reclamaciones de clientes, proveedores o público en general. A menudo se olvida que el  RGPD introduce el “derecho a la indemnización”, que ostenta el titular de derechos personales cuando sufra una vulneración en sus datos.

"En cuanto a la preparación de los abogados, estimo que no es la suficiente".

 Para ser DPO, ¿Qué requisitos se deben cumplir? Y, además de los cursos homologados, ¿Se debería tener una formación complementaria? ¿En qué materias?

El RGPD y la LOPD no fijan requisitos para ser DPD. Sin embargo el artículo 35 LOPD, bajo el epígrafe Cualificación del Delegado de Protección de Datos, remite al artículo 37.5 RGPD, remite a la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos. Davara enumera una serie de requisitos, como conocimiento de normativa vigente, comprensión de las operaciones de tratamiento que realiza la entidad y de programas y soportes utilizados, conocimiento del sector de la entidad, etc. Finalizando que es una formación que debe de estar en continua actualización.

 En este año, ¿Cómo han superado los problemas iniciales para la aplicación correcta del nuevo reglamento?

La protección de datos ha pasado desde el pasado 25 de mayo por un “tsunami” legislativo. El Reglamento Europeo vino precedido de una fuere difusión en los medios de comunicación. Ello origino que las empresas revisasen o implementasen, a veces de forma precipitada, una política de protección de datos. Después vino el RDL 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Y finalmente, a fin del año pasado la nueva LOPD. Ciertamente, se actuaba bajo la senda trazada por el Reglamento, pero en aspectos como el DPD o los derechos digitales se iba más allá. Todo ello ha implicado que los cambios hayan sido constantes, incluso sobre cambios recientes. Ahora que se cumple el año del Reglamento, van asentándose los planteamientos, y empezamos a contar con una operativa más asentada.

•  El año pasado por estas fechas, ¿Asistimos a un desorden sobre los criterios de aplicación del nuevo reglamento y los requisitos de formación del DPO?

Curiosamente en las fechas de entrada en vigor del Reglamento la mayor preocupación de las empresas fue la petición del consentimiento para el envío de correos electrónicos. Empresas y particulares recibían correos solicitando el consentimiento, que en su inmensa mayoría no contestaban, pero servía para generar una inquietud en este campo. Encontrábamos incomprensión cuando planteábamos a las organizaciones los principios de proactividad, individualización de los riesgos y privacidad desde el origen. Había unos protocolos de actuación, que a veces se consideraba que ya cubrían el cumplimiento de la ley. Así las empresas y organizaciones debieron de gestionar un gran cambio en su política de privacidad. Estimo que no fue tanto de desorden, como de intentar aplicar una normativa, que tuvo un periodo de puesta en marcha de dos años.

• ¿Cuáles han sido las principales enseñanzas después de 1 año de la aplicación del Reglamento General de Protección de Datos 2016/679?

Pienso que la principal enseñanza ha sido dar carta de naturaleza, visibilidad diríamos, a la protección de los datos. Si tenemos claro que los datos son el nuevo petróleo del siglo XXI, que están en nuestra vida cada minuto, lo único que ha sucedido es que el derecho ha ido por detrás de esta realidad, y lo ha hecho para quedarse. Suelo acabar algunas presentaciones con la frase de Chris Hardwick “ya no estamos en la era de la información, sino en la de la gestión de la información”. El Reglamento y luego la Ley han venido a intentar poner algo de orden en esta gestión de la información y de los datos en que nos encontramos.