El Reglamento General de Protección de Datos de la Unión Europea en muchos temas no ha variado sustancialmente respecto a la normativa anterior, así se han mantenido determinadas obligaciones para los responsables de tratamientos y, a las personas, se les sigue reconociendo los derechos. Sin embargo, la principal novedad para los responsables del tratamiento de datos de carácter personal es cómo abordar la adaptación de sus organizaciones -públicas o privadas-, a lo dispuesto por la legislación vigente, novedad que viene regulada en el artículo 24 donde se recoge la responsabilidad a la que somete al responsable.
Se trata de un principio de responsabilidad activa que supone que el responsable debe aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento que realiza es conforme al Reglamento. Para ello, debe tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento. Pero lo más importante, además de novedoso, es el concepto de riesgo para los derechos y libertades de las personas. Esto implica que el responsable, cuando realiza tratamientos de datos personales, también debe tener en cuenta los riesgos de diversa probabilidad y gravedad para estos derechos y libertades.
Tradicionalmente, la cultura del riesgo se ha desarrollado fundamentalmente en los departamentos financieros y de seguridad de la información, sin embargo, el Reglamento añade los riesgos para los derechos y libertades de las personas. Esto implica que el responsable del tratamiento, cuando identifica los amenazas a las que está expuesta su organización y los riesgos a los que se enfrenta para preservar la continuidad del negocio, debe añadir también las amenazas a las que se expone por un tratamiento inadecuado de los datos personales y los efectos que puede causar, en este caso no sobre la organización, sino sobre las personas cuyos datos personales trata, si en algún momento, por una falta de previsión o por no haber implantado las salvaguardas adecuadas, se ve vulnerada su privacidad. Unido al concepto de análisis y gestión de riesgos está el de evaluación de impacto, es decir, el responsable antes de iniciar un tratamiento que implique un alto riesgo para los derechos y libertades de las personas debe realizar una evaluación de impacto de ese tratamiento con el fin de concluir si, en función de las medidas que va a adoptar cuando se realice el tratamiento, no se van a poner en riesgo esos derechos y libertades.
Otro cambio importante del reglamento se puede encontrar en lo relativo a las medidas de seguridad que se deben adoptar para garantizar que no se produce una fuga de información. Con la anterior legislación, las organizaciones estaban habituadas a implantar las medidas que marcaba la ley vigente y que las establecía en función de la tipología de datos tratados con independencia del tamaño de la empresa o de su volumen de facturación; por el contrario, el Reglamento no predetermina ninguna medida de seguridad, simplemente remite a las necesarias en función del riesgo al que se encuentra expuesta la organización.
Las referencias que se han hecho hasta ahora no son extrañas a la región iberoamericana. Por el contrario, muchas de las leyes aprobadas hasta la fecha en una gran parte de sus países (Argentina, Colombia, Perú, Uruguay, México, Costa Rica…), han tomado como referencia, en mayor o medida, la normativa europea para regular el uso adecuado de los datos personales de sus ciudadanos, conforme a lo que era hasta ahora la base de esa normativa: la Directiva 95/46/CE. Por lo tanto, estos países, deberán adaptar -algunos ya lo están haciendo-, en los próximos años esta legislación al nuevo marco legal europeo. Con una peculiaridad, y es el hecho de que, en junio del pasado año, la Red Iberoamericana de Protección de Datos, con el respaldo de la Comisión Europea, aprobó en Santiago de Chile los llamados Estándares de Protección de Datos Personales para los Estados Iberoamericanos, que constituyen un gran esfuerzo de adaptación y armonización regional de los principios y exigencias del reglamento europeo a las peculiaridades y características propias de los países iberoamericanos. Los estándares constituyen, pues, un marco adecuado para llevar a cabo ese proceso de adaptación.
Con todo ello lo que se quiere decir es que con el nuevo marco legal europeo ha llegado el momento de desarrollar y aplicar políticas de protección de datos adaptadas a las necesidades propias de cada empresa y de cada organización pública, es decir, un traje a la medida y, para eso, se requieren profesionales con conocimientos suficientes tanto del Reglamento como de aspectos relacionados con el mundo de la tecnología, que estén bien preparados y que tengan un perfil multidisciplinar con habilidades y competencias adecuadas para afrontar este nuevo escenario.
En esta línea, el propio Reglamento Europeo aporta otra importante novedad que afecta de modo especial a los profesionales de la privacidad: la figura del Delegado de Protección de Datos (o el Oficial de Protección de Datos Personales, como lo definen los Estándares iberoamericanos). El valor añadido de esta nueva figura es que, con ella, se pretende proveer a los responsables que los contraten o los designen de unos profesionales dotados de una cualificación, unas competencias y una experiencia acreditadas, de modo que tengan la certeza de que van a contar con el asesoramiento de unos profesionales que van a garantizarles un proceso adecuado de adaptación de sus organizaciones y sus modos de gestión a este nuevo modelo de cumplimiento que establece el reglamento europeo. En definitiva, se pretende que cuando los responsables recurran a esta figura tengan la seguridad de que están contratando a un profesional de una calidad contrastada para el desempeño de unas funciones que requieren de un cierto grado de especialización y cualificación.
Para tratar de responder a esta demanda creciente del mercado, la Agencia Española de Protección de Datos junto con la Entidad Nacional de Acreditación y Certificación decidió elaborar un Esquema de Certificación para Delegados de Protección de Datos, siendo la primera autoridad europea de protección de datos que lo hace. Aunque para poder desempeñar las funciones de delegado de protección de datos no es necesario estar certificado, sí que da un valor añadido a los profesionales que optan por certificarse, además de extender su valía profesional al ámbito internacional puesto que el Esquema se desarrolló siguiendo la norma ISO 17024. El programa y la metodología del Esquema están plenamente adaptados al reglamento europeo.
La función del delegado de protección de datos es de suma importancia ya que el Reglamento lo sitúa al máximo nivel dentro de la organización y además es quién debe asesorar al responsable del tratamiento en aquellos casos en los que es obligatorio su nombramiento, sobre las acciones que debe realizar para cumplir con la normativa. Por ello, una de las funciones que asigna el Reglamento al delegado de protección de datos es su formación permanente y además obliga a las organizaciones a que les faciliten todos los recursos necesarios para actualizar sus conocimientos.
Para contribuir a este objetivo, la Universidad Nacional de Educación a Distancia (UNED) y la Agencia Española de Protección de Datos han elaborado conjuntamente un programa formativo modular que permite a estudiantes de postgrado y a profesionales del sector o de otros sectores pero que buscan otra opción profesional, obtener unos conocimientos basados en las funciones y competencias que el Reglamento específica para los delegados de protección de datos.
Como se ha comentado, se trata de un programa modular, esto quiere decir que se pueden obtener tres diplomas diferentes -experto, especialista y máster. La ventaja que conlleva el ser un programa modular es que no es necesario cursar en un mismo año los tres módulos que lo componen para obtener el máster, se puede cursar un año únicamente el módulo correspondiente al diploma de experto y al año siguiente el de especialista o el de máster. También puede alargarse si así lo desea hasta tres años, es decir se cursa el primer año el experto, el segundo el especialista y, finalmente, el último año el máster.
La UNED (Universidad Nacional de Educación a Distancia) es la única universidad española con ámbito nacional e internacional, es una universidad pública, totalmente online, lo que permite a las personas residentes en Iberoamérica abordar una formación de estas características sin desplazamientos costosos a España, con unos precios asequibles y con posibilidad de obtener tres títulos diferentes y en diferentes períodos de tiempo.
Toda la información sobre dicho programa se encuentra en https://www.reglamentodatos.es. El plazo para la inscripción finaliza el 30 de noviembre.