Celebrada Mesa redonda sobre el futuro Reglamento Europeo de Protección de Datos
El pasado jueves 28 de febrero de 2013 se celebró en el Salón de Actos del Ilustre Colegio de Abogados de Madrid (C/ Serrano 9), el Foro DENAE – APEP sobre el “El futuro reglamento europeo de protección de datos”.
La mesa estuvo moderada por D. Norman Heckh, Director Jurídico de Nuevas Tecnologías de Deloitte, quien abrió la Jornada poniendo de relieve la complejidad del Reglamento y explicando que, debido a lo extenso de la materia cubierta por la futura norma, el Foro trataría las tres cuestiones que los panelistas consideraban más relevantes: la figura del “Data Privacy Officer” (DPO), las “Privacy Impact Assessment” (PIAS) y el “privacy by design”
D. Ricard Martínez, Presidente de APEP, fue el encargado de explicar la nueva figura del “Data Privacy Officer” en el Reglamento, si bien aclaró que el grado de dificultad en la aplicación de la actual Ley Orgánica de Protección de Datos ha provocado que esta figura no resulte extraña en nuestro país, aunque carezca de sustantividad. Todavía el Reglamento tiene que definir con más precisión los contornos de esta figura, como por ejemplo el tipo de relación que va a vincular al DPO con la empresa, pero en cualquier caso, según el presidente de APEP, el DPO necesariamente se va caracterizar por su independencia con respecto a la empresa y sus directivos.
D. Rafael García, Coordinador de Relaciones Internacionales de la Agencia Española de Protección de Datos abordó la cuestión de las “Privacy Impact Assessment” (PIAS) o análisis de riesgos en materia de protección de datos que, según el futuro Reglamento, las empresas tendrán que efectuar de forma obligatoria en determinadas ocasiones. El Reglamento en su redacción actual no regula la forma en que debe hacerse una PIA, si bien dispone de una lista no exhaustiva de aquellos supuestos en que sí será obligatorio que la empresa lleve a cabo la misma. Lógicamente esos supuestos serán aquellos en que el tratamiento de los datos suponga un riesgo para los titulares de los mismos.
Finalmente, D. José Leandro Núñez, Socio de Audens desarrolló la regla de “privacy by design”. El origen de esta norma la encontramos en la Resolución de Madrid que invitaba a las empresas a que fueran proactivas a la hora de adaptar su negocio y sus herramientas a las necesidades de protección de datos. Esta integración de la privacidad en la lógica de negocio de la empresa tiene como objetivo la disminución de los errores y, por ende, de las infracciones y sanciones.
Los tres ponentes destacaron que los tres conceptos explicados no pueden verse como compartimentos estancos, sino como expresiones lógicas del principio de “accountability” (control y rendición de cuentas), que está en el espíritu de este Reglamento Europeo. También coincidieron en la necesidad de que las empresas tengan una cultura de privacidad, de modo que la protección de datos sea un elemento esencial a tener en cuenta con carácter previo al desarrollo de negocio.
Finalmente, D. Rafael García se refirió a la actual redacción del régimen sancionador en el Reglamento, que contempla un desequilibrio muy importante entre infracciones muy graves y leves y, adicionalmente, introduce unas sanciones extraordinariamente altas, así como la novedad de cuantificar las sanciones por porcentaje de volumen de negocio.