Cerrar

La importancia del sistema compliance en la protección de datos

Consultorio Empresarial

Ya a pocos días del esperadísimo pistoletazo de salida para la aplicación del Reglamento UE 20169/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016[1], relativo a la protección de las personas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante, el Reglamento).

Es sabido por “casi” todos los lectores que la fecha tan esperada, incluso temida, es el próximo 25 de mayo, ya que el cumplimiento de la protección de datos es una de las mayores preocupaciones de las empresas. A partir de esta fecha la aplicación del Reglamento en nuestro país será directa e inmediata y supone cambios en la actual LO 15/1999, de 13 de diciembre (LOPD), estamos a la espera de que se apruebe una nueva normativa nacional que siga las directrices del Reglamento.  

Hasta donde llega la protección de nuestros datos …

A colación de lo anterior, resulta interesante mencionar el pronunciamiento del Tribunal Supremo, siguiendo el criterio del TEDH (Tribunal Europeo de Derechos Humanos)[2], en relación con la licitud de la intervención del correo electrónico de los trabajadores de una conocida e importante empresa de nuestro país por la propia organización.

Ambos tribunales no consideran vulnerado el derecho a la intimidad y privacidad de las comunicaciones de los trabajadores por la empresa, con intervención a las comunicaciones electrónicas del trabajador, la monitorización de los equipos y el acceso a su historial de internet sin previo aviso, si se realiza con todas las garantías para evitar abusos, y la empresa cuenta con programas de cumplimiento normativo (compliance) que incorporen políticas sobre el uso de los recursos propios de la empresa.  Y la política de seguridad de la información deje claro que “el acceso es para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización de las herramientas que pone a disposición de sus empleados”.

Así pues, ante este escenario no está de más aclarar que con el Reglamento surge la responsabilidad proactiva de la empresa, o lo que es lo mismo, la propia empresa tiene que tomar las medidas adecuadas para reducir al máximo los riesgos y garantizar el cumplimiento de la normativa europea, y además tiene que poder demostrarlo (artículo 30). Para ello, para que la empresa pueda generar una trazabilidad suficiente de su diligencia conforme cumple con la normativa vigente, se deben aplicar las medidas de privacidad, privacy by default, y se plantea el tratamiento de datos, privacy by design (artículo 25).

Se exige, entre otras cuestiones, la evaluación de los riesgos que suponen las actividades susceptibles de incumplir la normativa de protección de datos, y la aplicación de las medidas preventivas necesarias para minimizarlos. La normativa europea presenta similitudes entre la regulación de esta materia y otros sistemas de compliance, por ejemplo la evaluación del impacto (artículo 35) “resulta semejante” al análisis de riesgos que se realiza para definir un programa de cumplimiento y la figura del Delegado de Protección de DatosData Protection Officer, DPO, (artículo 37 y ss), “similar” al Compliance Officer, por ser un órgano encargado de asesorar, controlar y supervisar el cumplimiento de la normativa.

En conclusión, en materia de protección de datos se exigen mecanismos de regulación, que previamente ya resultan necesarios para otro tipo de control en la empresa, primando el análisis en función del riesgo y la supervisión dentro de la organización.

Y antes de despedirme por hoy, dejo una pregunta en el aire,

¿Cuántos estáis dispuestos a asumir riesgos y hasta dónde?

Al fin y al cabo, todo confluye en el mismo punto, evitar, o en su caso atenuar, la responsabilidad por mala praxis en el seno de la empresa. La respuesta está en nuestras manos.

No te quedes con ninguna duda: consulta con tu gestor administrativo.

Busca el logo , Garantía profesional.

©Todos los derechos reservados. Los contenidos de esta web son propiedad exclusiva de SIGA 98, S.A. Queda prohibida cualquier reproducción total o parcial.

 


[1]  Entrada en vigor el 25 de mayo de 2016

 

 

 

[2]  Caso Bardulescu

 

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR

Pin It on Pinterest