Talleres para el cumplimiento del Reglamento europeo en el ámbito colegial
El pasado 7 de marzo, la Agencia Española de Protección de Datos (AEPD) y Unión Profesional (UP) celebraron el primero de los talleres que han programado ambas entidades, a nivel interno, para llevar a cabo a lo largo del mes de marzo en relación al Reglamento General de Protección de Datos (RGPD), que será de obligado cumplimiento a partir del 25 de mayo del 2018.
Hoja de ruta
Durante el primer taller, desde la AEPD se hizo especial énfasis en seguir los procesos establecidos para cumplir a tiempo con el Reglamento europeo. Como apuntan en su Hoja de ruta de adaptación al RGPD, puede optarse por la herramienta Facilita_RGPD, para simular la adecuación al nuevo reglamento de protección de datos y que en breve se mostrará con una modificación de la herramienta para poder operar en ella si se marca una opción que supone el tratamiento de datos de categoría especial. Asimismo, recomiendan hacer caso de las guías ya publicadas: Guía de Análisis de Riesgo y Guía de Evaluación de Impacto en la Protección de Datos, ambas recientemente publicadas.
Desde la AEPD, inciden en enfocar en el ámbito de la sensibilización, una estrategia que las organizaciones colegiales han de poner en práctica para poder garantizar el cumplimiento del Reglamento europeo. Tal y como se planteó en el taller, es importante para la organización colegial identificar a la persona responsable de coordinar el proceso, y analizar la situación por si fuera necesaria la figura del Delegado de Protección de Datos (DPD). Lo que será siempre pertinente es localizar quién es el responsable y quién se encargará de tratar los datos en cada organización.
Sobre la diferencia entre el responsable y el encargado de protección de datos
La diferencia entre el responsable y el encargado de protección de datos fue una de las primeras cuestiones tratadas. Mientras que el responsable es quien determina los fines y medios del tratamiento de los datos, que en este caso, serían las organizaciones colegiales, el encargado es que el realiza el propio tratamiento por encargo del responsable. Igualmente, ambas figuras han de nombrar un delegado de protección de datos en los supuestos que el Reglamento General de Protección de Datos (RGPD) establece. Desde la Agencia se indicó que las organizaciones colegiales han de nombrar a un DPD.
De esta misma manera, qué tratamiento de los datos han de llevar a cabo las organizaciones colegiales, teniendo en cuenta la doble naturaleza público-privada de los colegios profesionales, fue otro de los temas abordados, pues es necesario discriminar cuando hay obligación legal y utilización legítima de los datos. Desde la Agencia recomiendan partir de la lógica aplicada a los antiguos ficheros colegiales para comenzar a analizar cómo tratar los datos y elaborar un registro de actividades de tratamiento.
A partir de aquí, realizar un análisis de riesgos; revisar las medidas de seguridad a la luz de los resultados del análisis de riesgos; establecer mecanismos y procedimiento de notificación de quiebras de seguridad. Y, si fuera pertinente, a partir de los resultados del análisis de riesgos, realizar una evaluación de impacto en la protección de datos.
Esquema de convivencia entre la figura del oficial de cumplimiento y el delegado de protección de datos
Otro de los temas abordados durante la sesión giró en torno al esquema de organización del cumplimiento en protección de datos y en cumplimiento normativo o compliance para evitar delitos en las organizaciones colegiales. Particularmente, se planteó cómo coordinar en su funcionamiento al delegado de protección de datos (DPD) y al oficial de cumplimiento normativo, u «organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención» que ha implantarse para evitar delitos como refiere el apartado 5 del artículo 31 bis del Código Penal.
Para la AEPD, lo fundamental para la coexistencia de estas dos figuras es «que no se produzca conflicto de intereses». Asimismo, siempre que se dé esta condición el DPD incluso podría asumir más gestión de riesgos y no solo la cuestión de protección de datos. En esta línea, la Agencia está trabajando con la Asociación Española de Compliance (ASCOM).
