Cargando...
Estás aquí:  Inicio  >  Opinión  >  Economía/ Entorno social  >  Artículo actual

Nuevo reglamento europeo de protección de datos y el papel del auditor interno (*)

Por   /   28 septiembre, 2016  /   Sin Comentarios

Por Natividad Rabazo Auñón, Abogada experta en protección de datos y nuevas tecnologías.

 

El nuevo Reglamento Europeo de Protección de Datos, que se comenzará a aplicar en mayo de 2018, obligará a las empresas a evaluar los riesgos derivados del uso de datos personales, y a invertir en medidas de seguridad y mecanismos de verificación para cumplir con la normativa y evitar así sanciones, que podrían llegar a los 20 millones de euros.

Así, las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que establece el Reglamento. Y es que, entre las novedades, está la responsabilidad activa de la empresa, Protección de datos, de Pixabaypor la que se entiende que actuar sólo cuando ya se ha producido una infracción puede causar daños a los interesados, que pueden ser muy difíciles de reparar o compensar.

Asimismo, entre las nuevas obligaciones derivadas del Reglamento se establece la elaboración de una evaluación de impacto cuando las operaciones del tratamiento de los datos entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance y fines. La prevención de la infracción es una de las bases sobre las que se construye el reglamento. El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel clave a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de demostrar ante una posible inspección que, efectivamente, la empresa está alineadas con el reglamento.

Los principales objetivos de la nueva normativa son reforzar la protección de los datos personales y fortalecer la seguridad de los estados, sin entorpecer el trabajo de las empresas y facilitando la competencia. Una de las novedades que más afecta a las organizaciones es que, en el principio de consentimiento, se establece que éste ha de ser verificable, lo que implica que el silencio, las casillas ya marcadas o la inacción no constituyen consentimiento. Esto lleva a las empresas a la necesidad de revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una posible inspección.

Otra novedad que incluye el reglamento es el denominado derecho al olvido, por el que se puede limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información sea obsoleta, falsa, incompleta, desproporcionada o irrelevante, aunque la publicación original sea legítima. Se diferencia entre la fuente de la información y el buscador: la fuente está ahí y es legítima, pero el buscador no tiene por qué mostrarla cuando pones tu nombre. Es un derecho muy necesario que llega después de muchas denuncias a buscadores.

También destaca la figura del delegado de Protección de Datos (“chief data officer”), nexo de unión entre la empresa responsable y la autoridad de control, para lo que ha de contar con protección, libertad e independencia para ejercer su labor dentro de la compañía, por lo que reporta directamente al Consejo de Administración.

Una única norma para todos los Estados Miembros

El ámbito territorial del reglamento es uno de sus puntos fuertes. La normativa se aplica en todos los estados miembros de la Unión Europea (UE), a las empresas extranjeras que presten sus servicios a clientes residentes en la misma y al tratamiento de datos personales por parte de un responsable establecido en un lugar en que el derecho de la UE sea aplicable en virtud del derecho internacional privado. La normativa apuesta por que los clientes en Europa tengan el mismo nivel de protección de cualquier compañía que les preste servicios, sea ésta europea o no, lo que beneficia a las empresas españolas, que al contar con leyes locales más estrictas competían en desigualdad con muchas empresas extranjeras que buscaban para operar otros países europeos con normativas más laxas.

Además, la normativa establece nuevos instrumentos para agilizar las transparencias internacionales de datos a empresas radicadas en países con un nivel de seguridad no equiparable al europeo.

No obstante, también existen aspectos que hay que pulir. Así, como puntos negativos de la nueva regulación, figura el carácter poco atractivo de los códigos de conducta y certificados si no evitan sanciones, el tratamiento dado a los incidentes en seguridad y la elevación desproporcionada del importe máximo de las multas y la falta de garantía de que las autoridades de control vayan a aplicarla de manera homogénea en todos los Estados de la UE.

—————————————————————————————————————————————
(*) Reseña de la ponencia de Natividad Rabazo Auñón el pasado 27 de junio de 2015 en la jornada los “Lunes del Instituto de Auditores Internos”, asociación profesional dedicada a la promoción del éxito de las organizaciones impulsando la auditoría interna como función clave del buen gobierno.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *