El valor de la protección de datos para las empresas
2 de septiembre de 2017
El valor de la protección de datos para las empresas
Actualmente, los datos, y especialmente los datos personales, se han convertido en un activo muy importante para las empresas, tanto grandes como pequeñas. En el ámbito europeo, la Comisión Europea indica que el valor de la economía de los datos se situará en los 643.000 millones de euros en 2020, si se crean las condiciones marco políticas y jurídicas adecuadas.
En este contexto, los datos personales son un recurso esencial para el avance de la sociedad digital. Por ello, el marco jurídico introducido por el Reglamento General de Protección de Datos, que será de plena aplicación a partir de mayo de 2018, persigue introducir la necesaria seguridad jurídica que permita el pleno desarrollo de la economía de datos.
El Reglamento tiene en cuenta, además, el impacto que la nueva regulación representa para las pequeñas y medianas empresas (pymes), al indicar, ya en su considerando número 13: "con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Además, alienta a las instituciones y órganos de la Unión y a los Estados miembros y a sus autoridades de control a tener en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación del presente Reglamento ()", indica en el texto.
Sin embargo, no se puede pretender aprovechar el potencial de los datos personales sin incorporar la protección de datos como elemento esencial del desarrollo de nuevos modelos de negocio o de la evolución de los negocios tradicionales, ya que el elemento clave para obtener datos personales, y que sean de calidad, reside en la confianza de los usuarios en que las empresas están tratando sus datos de forma adecuada, responsable y dentro de un contexto de transparencia plena y completa.
Las obligaciones e instrumentos que introduce el Reglamento europeo van, justamente, en este sentido. Con la inclusión de un nuevo principio, el de la responsabilidad proactiva y demostrable -accountability-, se desarrolla un modelo basado en un enfoque de riesgo que incorpora un componente de flexibilidad. Este enfoque permite a las entidades cumplir con las obligaciones a partir de un análisis de su realidad en un marco de máxima garantía de los derechos.
Así, según la naturaleza, alcance, contexto, e incluso las tecnologías utilizadas para el tratamiento de datos personales, se deberán implantar las medidas adecuadas para garantizar los derechos y las libertades de las personas afectadas por el tratamiento. Este análisis nos permitirá determinar las obligaciones concretas y de qué manera hay que cumplirlas para que sean realmente efectivas, atendiendo a las necesidades y características de cada empresa y negocio en particular.
La gestión de los riesgos relacionados con los tratamientos ejecutados implica que todas las decisiones relacionadas con el tratamiento de los datos de carácter personal, y, en este sentido, no sólo aquellas vinculadas a la seguridad de los tratamientos, deberán estar sustentadas en la gestión de los riesgos.
Algunas de las principales novedades que introduce el Reglamento, basadas en este enfoque de riesgo, son: la protección de datos desde el diseño y por defecto; las evaluaciones de impacto sobre la protección de datos; el registro de actividades de tratamiento; el nombramiento de un delegado de protección de datos; el análisis de riesgos de seguridad; la notificación de violaciones de seguridad; y el impulso de los códigos de conducta y los esquemas de certificación.
Asimismo, el Reglamento ha reforzado la transparencia respecto a los tratamientos de datos realizados, extendiéndolo a todo el proceso, ha ampliado el derecho de información y ha reforzado el consentimiento, eliminando el tácito. También, en la búsqueda por aumentar el control que las personas tienen sobre sus datos personales, ha reforzado derechos ya existentes y ha creado otros nuevos: se regulan los derechos de acceso, rectificación, supresión -olvido-, oposición, limitación del tratamiento y el derecho a la portabilidad, por ejemplo.
En definitiva, como indica el propio Reglamento, al dotarnos de un marco sólido y coherente para la protección de datos se pretende "contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas".
Las autoridades de protección de datos somos conscientes de las dificultades que la adaptación al Reglamento puede conllevar para las empresas, sobre todo para las que hasta ahora no han adoptado una actitud activa en relación con la protección de datos.
Ante esta situación, para facilitar la adecuación hemos elaborado, y continuamos desarrollando, instrumentos de soporte a las entidades que tratan datos personales. Nuestra página web (www.apdcat.gencat.cat) dispone de un espacio específico de divulgación para informar sobre todas las cuestiones que afectan al Reglamento donde, además, se pueden encontrar los instrumentos que se van desarrollando.