Más de 150 representantes de entidades asisten a la conferencia sobre la nueva normativa

El Reglamento europeo de protección de datos (RGPD)entró en vigor el 2016, pero no fue de obligado cumplimiento hasta el 25 de mayo de este año. A pesar del margen de dos años para cumplir la normativa, muchas entidades no se han adaptado hasta hace pocos meses. Algunas todavía tienen en cuenta la norma desfasada del 1999.

Glòria Freixa i Joana Marí, expertas de la Autoridad Catalana de Protección de Datos (APDCAT), resolvieron las dudas de les entidades alrededor de la nueva ley durante la jornada que organizó Suport Associatiu el 24 de octubre en el Centro de Estudios Jurídicos, en Barcelona. Más de 150 representantes de asociaciones y fundaciones asistieron a la conferencia.

 

Glòria Freixa: “No se trata de incluir una cláusula informativa y listos”

¿Cuáles son las principales dudas de las entidades alrededor de la protección de datos?

Primero de todo, cumplir con la norma. Es como si la regulación del 2016 fuera nueva y no hubiera habido nada antes sobre protección de datos. De repente, todo el mundo se estaba poniendo nervioso por cumplir con la normativa, y ya es una buena cosa que se haya creado esta conciencia de cumplimiento. Están preocupados sobretodo por el tema de las redes, por el uso de las imágenes, y por si el cumplimiento les supondrá una cantidad de dinero importante en la gestión, o si lo podrán hacer ellos mismos sin la ayuda de nadie.

¿Cuáles son los principales errores que se cometen?

No acaban de ser conscientes de la importancia de este derecho fundamental. Muchas entidades se lo toman como una ley que solo obliga a poner una cláusula informativa para que los usuarios la sigan, y listos. El error más grande es no ver que es un cómputo global. Hace falta hacerse una fotografía de les características y necesidades de la entidad para ver qué obligaciones tiene que cumplir y cuáles no. Muchas entidades se quedan con una pequeña obligación que sería como la fachada. La protección de datos no es solo dar esta información.

¿Qué entidades tienen que cumplir con más obligaciones?

Las entidades que trabajan con datos de categoría especial. Por ejemplo, las que utilizan muchos datos para su funcionamiento, las que tratan datos de menores, salud, religión, ideología

¿Dónde se tienen que dirigir las entidades que tengan dudas sobre cómo tratar sus datos?

En la Autoridad Catalana de Protección de Datos tenemos un servicio de atención al público que atiende todas las consultas y, además, hay un servicio de consultoría para las entidades que prefieran hacer las consultas de manera presencial. En este caso se tiene que hacer demandante de hora previamente.

Joana Marí: “Hace falta un compromiso activo de las entidades con el derecho a la protección de datos”

¿Cuáles son las principales dudas de las entidades alrededor de la ley de protección de datos?

Las dudas de las entidades vienen derivadas, normalmente, del hecho de que se trata de una norma muy especializada. Por lo tanto, a veces, la terminología es difícil de entender. Una vez identificados los conceptos, la aplicación práctica de la normativa no tiene por qué suponer mayores dificultades.

¿Cuáles son las principales diferencias de la nueva normativa con respecto a la anterior?

La nueva normativa ha cambiado de enfoque y se basa en dos ejes. Uno de estos exige la determinación de riesgos concretos para las persones derivadas de los tratamientos que se realizan por cada cantidad. Cuando la entidad ya sabe cuál es le grado de riesgo por los derechos de las personas, tienen que determinar qué medidas tienen que implantar.

¿Cuáles son las entidades que gestionan datos con más riesgos?

Por ejemplo, las que gestionan datos de salud, orientación sexual, etnia … o tratan un gran volumen de información. También los datos de colectivos vulnerables como niños y niñas o personas con discapacidad, o las entidades que hacen perfiles de personas para tomar decisiones sobre ellas. Las asociaciones que tratan datos que pueden ser más invasivos tienen que cumplir con más obligaciones.

¿Y el segundo eje?

La responsabilidad proactiva, la llamada ‘accountability’. Esto supone que las entidades no solo tiene que cumplir con la protección de datos, sino que, además, tienen que escoger las mejores medidas para proteger a las personas y tienen que estar en disposición de demostrarlo. Antes era más formal y menos flexible, porque todo el mundo tenía que cumplir con las mismas obligaciones. Por ejemplo, las medidas de seguridad eran las mismas para un hospital que para una clínica dental. Lo que lo definía eran los tipos de datos tratados (salud), no los riesgos.

Hay entidades que todavía no se han adaptado a la normativa.

Hace dos años que hacemos formación específica y actos de sensibilización. Hemos puesto a disposición de las entidades guías y herramientas para adaptarse al RGPD a través de nuestra página web (www.apdcat.cat). Esperamos que, las entidades, en la medida de la posible, estén cumpliendo con sus obligaciones. El nuevo reglamento, a pesar de su cambio de enfoque, continúa basándose en los mismos principios (limitación de la finalidad, minimización, y mantiene obligaciones tan importantes como la obligación de informar a las personas, o de tener una base jurídica para tratar los datos:consentimiento, contrato, obligación legal,…

¿Dónde se tienen que dirigir para asesorarse?

Se pueden dirigir al servicio de atención al público de la Autoridad Catalana de Protección de Datos, al servicio de consultoría de las entidades que entran dentro de nuestro ámbito competencial y, si son cuestiones jurídicas más complejas, el responsable del tratamiento también puede presentar una consulta por escrito a la Autoridad. Lo que queremos es prevenir que se vulneren los derechos de las personas.

¿Cuáles son los errores más frecuentes que cometen las entidades en relación al RGPD?

La mayor dificultad es no entender el cambio de paradigma del reglamento. Lo que quiere la norma es, por ejemplo, que cuando se redacten las cláusulas informativas no se centren solo en la información a dar, sino que también tienen en cuenta las persones a quien se dirigen y la mejor manera de facilitarles la información para que la puedan entender o conocer cuáles pueden ser las consecuencias derivadas del tratamiento. Todavía tienen el chip de poner mucha información y no tanto la idea de pensar a quién se dirigen i cuál es el mejor mecanismo para que la gente entienda qué es lo que haremos con su información.

¿En general, es una mejora con respecto a la anterior norma?

Es una norma con perspectiva de futuro, que se redactó con la idea que fuera“tecnológicamente resistente»; es decir, está pensado para que se pueda aplicar independientemente de las tecnologías que vayan saliendo. Incluye muchas mejoras, como la responsabilidad proactiva, la voluntad de compromiso de las entidades y que sean las entidades que tratan los datos las que determinen las medidas que hace falta aplicar. Además, da más control a los titulares sobre los propios datos, ampliando derechos como el de acceso o supresión, y creando de nuevos como el de portabilidad o limitación del tratamiento.

Autoría: Júlia Hinojo, técnica de Comunicación de Suport Associatiu-Fundesplai.

¡Síguenos!

Suscríbete ahora a nuestro boletín

  • Este campo es un campo de validación y debe quedar sin cambios.

Síguenos en las redes sociales

Somos Fundesplai

Somos una entidad sin ánimo de lucro que trabaja desde hace más de 45 años a favor de la educación y la felicidad de los niños y las niñas, la equidad, la inclusión social, la protección de la naturaleza y el desarrollo del Tercer Sector.

Suport Tercer Sector es el departamento de Fundesplai dedicado a fortalecer las entidades del Tercer Sector.