¿Cuáles son los retos que presenta la aplicación de la nueva normativa en protección de datos personales?

La protección de datos personales se proyecta cada día en numerosos procesos de todo tipo de sectores. Hemos visto que la nueva normativa de protección de datos personales, el Reglamento general de protección de datos personales, RGPD o GDPR por sus siglas en inglés, se aplica en áreas de lo más heterogéneas, desde la investigación, los medios de comunicación, finanzas, marketig o redes sociales por poner sólo algunos ejemplos.

El nuevo Reglamento de protección de datos trae consigo numerosas ventajas, como ya analizamos en el artículo ¿Qué ventajas trae consigo el RGPD o GDPR? como la homogeneidad de criterio en todos los Estados miembros, la garantía de un nivel adecuado de protección o la defensa de los derechos de los interesados entre otros.

Pero, por otro lado, debemos admitir que hay una serie de factores que pueden dificultar la aplicación de la misma. Entre ellos, podemos destacar:

1. terminología muy legalista

El RGPD presenta una terminología muy técnica, que dificulta su comprensión y posterior aplicación en la práctica. Por ejemplo, se utilizan términos complejos para los actores principales del proceso: responsable del tratamiento, encargado, destinatario o tercero, así como en términos clave bastante específicos como seudonimización o anonimización. Si bien es cierto, el propio Reglamento recoge en su Artículo 4 varias definiciones, posteriormente, las autoridades nacionales y los tribunales nacionales, el Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos han ido matizando muchos de estos conceptos.

Además, se trata de un reglamento extenso con 99 artículos y más de 170 considerandos, que establecen ideas y principios clave para entender el espíritu y motivación del mismo.

2. conceptos muy abiertos y flexibles

La nueva normativa no sólo utiliza términos complejos, sino que además muchos de ellos son términos muy abiertos, que engloban numerosas acciones y situaciones. Ejemplo de esto serían el propio concepto de dato personal o el de tratamiento. El RGPD los define de tal manera, que parece que afectan a todas las actividades de nuestro día a día.

El nuevo RGPD utiliza una terminología muy técnica y conceptos muy flexibles que pueden dificultar su aplicación en la práctica.

3. responsabilidad proactiva

Una de las novedades de la nueva legislación es el principio de responsabilidad proactiva del responsable del tratamiento de los datos personales. Como ya vimos anteriormente, el responsable del tratamiento de datos ve modificado su rol de manera sustancial bajo la nueva normativa, que pasa de una responsabilidad reactiva a una responsabilidad proactiva.
Esto supone un nuevo y diferente planteamiento a la hora de interpretar la normativa vigente, que establece varias obligaciones para los responsables y que deben demostrar que su tratamiento es conforme al RGPD.

4. risk based approach

La nueva normativa presenta un nuevo enfoque, basado en el riesgo de los tratamientos u operaciones realizadas. Este enfoque se plasma en numerosas de las obligaciones impuestas, y està íntimamente relacionado con el principio de proactividad antes mencionado.

5. medidas de seguridad apropiadas

En línea con lo anterior, la nueva normativa ya no hace referencia a medidas concretas de seguridad, si no que establece que deben adoptarse las medidas técnicas y organizativas necesarias y apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

El responsable del tratamiento debe analizar los tratamientos a su cargo, y adoptar las medidas que considere adecuadas para la protección de los mismos, atendiendo cada caso en concreto y de manera individualizada.

6. privacy by de design y default

El responsable del tratamiento, deberá aplicar estas medidas de seguridad ya desde la fase de diseño de aplicaciones, servicios y productos (“privacy by design”) y sólo procesará los datos personales necesarios en relación con los fines para los que fueron recogidos. (“privacy by default”).

Teniendo en cuenta estos riesgos, debemos destacar que, para poder hacer afrontarlos con éxito, es clave la figura del delegado de protección de datos personales o DPO, por sus siglas en inglés. El DPO es el encargado de facilitar el cumplimiento de la normativa en materia de protección de datos personales en las empresas, organizaciones e instituciones públicas, asesorando a los responsables de procesos con datos personales en la aplicación de elementos esenciales del mismo.

Más información:

¿Qué ventajas trae consigo el RGPD o GDPR?

¿Qué hace un delegado de protección de datos?

¿Cuáles son las obligaciones de los responsables de tratamientos de datos personales?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: