Noticias

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria y que muy probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación del Reglamento europeo, y es posible que ni siquiera para este año. Pero el caso de España no es excepcional, tampoco en otros Estados miembros -a excepción de Alemania y Austria- la norma nacional llegará a tiempo.

En todo caso, para paliar la falta de concreción normativa, tanto el Grupo de Trabajo del Artículo 29, como la propia Agencia Española de Protección de Datos están ofreciendo diferentes guías con las que orientar a las empresas en la interpretación de la nueva regulación y su puesta a punto.

Así lo puso de manifiesto Alejandro Padín, counsel del departamento Mercantil y responsable del área de Privacidad y Tecnologías de la Información de la oficina de Madrid de Garrigues, en las jornadas celebradas esta semana en Madrid y Barcelona sobre cómo cumplir en tiempo y forma con el Reglamento General de Protección de Datos de la UE. Las jornadas, a las que también han podido conectarse otras oficinas de la firma en España, han logrado convocar a cerca de 800 profesionales de diferentes empresas interesados en conocer a fondo los últimos pasos a seguir para lograr un efectivo cumplimiento y evitar las posibles consecuencias de no hacerlo, lo que da muestra del enorme interés y preocupación que suscita la llegada de la nueva regulación.

En una mesa moderada por el socio de Garrigues José Ramón Morales, Alejandro Padín intervino en la jornada de Barcelona junto a Misi Borrás, socia de Laboral, y Francisco Marín, asociado del departamento Mercantil. En Madrid, el acto fue introducido por el socio de Mercantil Javier Marzo, que dio paso también a Alejandro Padín, en este caso junto al socio Braulio Molina, que expuso los efectos del nuevo Reglamento en los departamentos de Recursos Humanos, y Katiana Otero, asociada de Mercantil, que explicó en qué medida se verán afectadas las áreas de Marketing de las compañías.

Los diferentes ponentes desgranaron los aspectos concretos que deberán tener en cuenta las empresas a partir del próximo mes de mayo, teniendo en cuenta las últimas novedades al respecto, y ofrecieron a los asistentes un kit de emergencia para el cumplimiento del RGPD, con una guía de actuación y cumplimiento para las compañías y la fotografía deseable para el 25 de mayo de 2018.

Pasos a dar

Alejandro Padín explicó que la complejidad de la normativa en torno al RGPD es enorme y requiere de asesoramiento experto. Señaló, además, que supone un reto para todas las empresas, especialmente para las orientadas al dato. En este sentido, subrayó que la economía digital tiene dos elementos fundamentales: el almacenamiento de información a gran escala y el análisis de esa información de forma hipereficiente. Concluyó señalando que es importante establecer un mapa de ruta para cumplir con el Reglamento.

Por su parte, Braulio Molina puso el foco en el área de Recursos Humanos, que se ve impactada de forma muy importante por el RGPD. Abordó cuestiones como las referentes al tratamiento de datos biométricos en el ámbito laboral –huella dactilar, firma digital biométrica, imágenes faciales, etc.-, que requiere de un análisis jurídico específico a la luz de la nueva normativa. También analizó cuestiones relativas a la videovigilancia y al control de los emails de los trabajadores a la luz de la jurisprudencia que ha analizado la cuestión de forma muy detallada en pronunciamientos relevantes como la famosa sentencia Barbulescu, del Tribunal de Justicia de la Unión Europea, de 5 de septiembre de 2017, o la más reciente del Tribunal Supremo, del pasado 8 de febrero. Finalmente, hizo hincapié en que el tratamiento de datos de trabajadores en grupos empresariales tiene una problemática especialmente compleja.

Katiana Otero profundizó en los efectos de esta revolución normativa en los departamentos de Marketing de las empresas. Explicó que las campañas de marketing basadas en el análisis de datos deben ser analizadas en profundidad para adaptarlas al RGPD y advirtió que es importante establecer prioridades para acometer un proyecto de adaptación al Reglamento de forma ordenada. También es fundamental realizar un buen diagnóstico e identificación de tratamientos de datos para cumplir con la normativa aplicable.

Todos coincidieron al señalar que el análisis de la figura del delegado de protección de datos (o data protection officer, en su denominación anglosajona) es un elemento fundamental de un programa de cumplimiento. En definitiva, hay numerosas decisiones jurídicas relevantes a tener en cuenta en un proyecto de adaptación al RGPD y su correcta aplicación puede ser decisiva para el devenir de las empresas.