El pasado jueves 11 de mayo tuve el placer de asistir a la XIX Conferencia Internacional sobre Seguridad de la Información organizada por la prestigiosa organización ISMS FORUM en el Círculo de Bellas Artes de Madrid.
Una de las ponencias que generó más expectativas fue la conferencia de la Directora de la Agencia Española de Protección de Datos, Mar España, que avanzó novedades en cuanto a la tramitación de la nueva Ley Orgánica de Protección de Datos de caracter personal y sobre la puesta a disposición de herramientas para la implementación del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR). Además emplazó a los asistentes a seguir en streaming la jornada que la AEPD organiza el próximo 25 de mayo en Madrid, donde se ampliará información sobre estos extremos.
Una de las afirmaciones más relevantes fue la de asegurar que la nueva norma española, que sustituirá a la actual LOPD, en ningún caso será más restrictiva ni impondrá más obligaciones que el GDPR. Otra de las novedades es que la AEPD establecerá los requisitos que deberá tener la certificación de los Delegados de Protección de Datos (DPO), que en todo caso será voluntaria.
También pudimos asistir a la interesante conferencia impartida por ISABELLE FALQUE-PIERROTIN, presidenta del grupo de trabajo del artículo 29 (Página del grupo del artículo 29), que ha aprobado unas directrices sobre el riesgo asociado a la evaluación de impacto, lo que ha motivado que la AEPD se ponga a trabajar en la actualización de la guía sobre evaluación de impacto del año 2014. Por otro lado, Falque-Pierrotin subrrayó la tensión existente actualmente con Estados Unidos en cuanto al cumplimiento del acuerdo internacional Privacy Shield, que trata de garantizar un nivel de protección adecuado por parte de empresas radicas en USA. En este sentido aseguró que a día de hoy no tienen ninguna evidencia sobre la implantación de las medidas a que se había comprometido el gobierno americano, por lo que la situación es preocupante, sobre todo en cuanto a que la Administración norteamericana ha decidido permitir a los proveedores de servicios de internet comercializar los datos de navegación de sus usuarios.
Indicar también que este GT 29 ha elaborado tres nuevos documentos sobre delegados de protección de datos, sobre identificación de la autoridad principal en el marco de los procedimientos de ventanilla única y sobre portabilidad de datos, que ayudarán a la interpretación del Reglamento.
Por último señalar que también intervino en las jornadas el Supervisor de protección datos de la Unión Europea, GIOVANNI BUTTARELLI, quien insistió en no esperar al último momento para comenzar la adaptación al nuevo GDPR, ya que no dará tiempo y ya se puede empezar a trabajar porque las obligaciones son claras y concisas. Además indicó que el GDPR cambia la metodología de trabajo, eliminando tareas burocráticas y cambiando el modelo hacia un sistema de responsabilidad proactiva, derivado del principio de accountabiliy, por lo que no se dará tanta importancia a la forma de adaptación como a su contenido material. En este sentido subrayó la necesidad de las empresas de aportar creatividad en la implantación, siendo conscientes que habrá errores, pero no se optará por establecer modelos u obligaciones formales sino que cada organización debe diseñar su propio plan de adaptación. Desde nuestro punto de vista, esta cuestión afecta de manera importante a la seguridad jurídica de los operadores económicos.
Diego Estévez García, abogado, socio director de Adenda, consultoría jurídica
