La nueva normativa europea para la aplicación del Reglamento de Protección de Datos, que será de obligado cumplimiento a partir del 25 de mayo, supone un cambio radical en este sentido y establece un régimen preventivo, eficaz y eficiente en el tratamiento de los Sistemas de Información y Seguridad en los datos de las empresas.
Amelia Medina Cuadros, Socia Abogada de Medina Cuadros y Directora de Auditoría Interna del despacho, coordina todo este proceso en la aplicación del nuevo marco normativo.
Amelia Medina nos explica, en una entrevista, el trabajo intenso y el esfuerzo diario que está llevando a cabo la Firma, certificada en la Norma ISO 9001:2015, y que continúa con la aplicación del nuevo Reglamento General de Protección de Datos, proporcionando al despacho una distinción de calidad unida a un referente en la competitividad y excelencia en el servicio que demandan nuestros clientes.
- Después de 18 años de normativa de protección de datos, y con la experiencia de tantos años de aplicación de la misma, ¿en qué áreas destaca la práctica de esta normativa dentro de una organización?
En una compañía como la nuestra en la que tratamos datos como responsables de los mismos y encargados del tratamiento de datos de terceros, prestamos especial atención a varios aspectos fundamentales:
– El Registro de los datos a tratar en la organización, eje vertebral y referencia básica de esta normativa.
– Control y formación de las personas de la empresa que van a tratar estos datos; junto con el adecuado control y seguimiento de terceros, ya sean encargados de tratamiento o prestadores de servicios.
– Y, por supuesto en la correcta aplicación de los procesos y recursos en los que nos apoyamos para llevar a cabo los tratamientos.
- En Medina Cuadros, ¿cómo se lleva a cabo esta aplicación?
Medina Cuadros cuenta con asesores especialistas en Protección de Datos a través de los que hacemos un seguimiento, no solo para mantener actualizados los ficheros registrados, sino también para ir adaptando el documento de seguridad y demás procesos establecidos a los cambios originados por la evolución lógica de la organización y principalmente, atendiendo a las necesidades de los clientes.
Para ello es vital la formación continua de los equipos que trabajan con nosotros, junto con el apoyo organizativo y técnico para la resolución de aquellas situaciones que se produzcan y la garantía del correcto desarrollo de la actividad.
Y además, tenemos en cuenta un punto muy importante, en Medina Cuadros incorporamos la última tecnología para el mantenimiento de nuestros sistemas, aplicando medidas organizativas y técnicas que nos permitan garantizar el cumplimiento y, por ende, la adecuada protección de los datos personales que tratamos.
- Una de las actividades más importante de Medina Cuadros es la Gestión de los Recobros. Por la naturaleza de esta actividad, y por la permanente custodia de los datos, ¿qué acciones se incorporan a esta Área que permiten la máxima garantía?
Nos preocupa mucho que nuestros clientes junto con aquellas personas que por motivos profesionales están incorporadas en el circuito de nuestra actividad, tengan las garantías suficientes de que los datos se tratarán exclusivamente para aquellas acciones para las que se nos han facilitado y que nuestros sistemas gozan de las medidas de seguridad necesarias.
Para dotar de más garantías a nuestra actividad, estamos asociados a ANGECO (Asociación Nacional de Entidades de Gestiones de Cobro). Esta asociación ha creado un Código de Conducta para, con su cumplimiento, incorporar procedimientos para la implementación específica y más exhaustiva de la normativa vigente. Medina Cuadros está adherida a este Código de Conducta, ajustando su Sistema de Protección de Datos a sus especificaciones y sometiéndolo a las medidas de control de ANGECO.
- Con la aplicación obligatoria del Reglamento General de Protección de Datos (UE) 2016/679 ¿Qué cambios van a afectan más a las organizaciones por esta nueva normativa?
En el ámbito que nos afecta, no puedo dejar de referirme a la autorregulación introducida en el reglamento que nos obliga a tomar medidas preventivas mediante el estudio de los peligros asociados a nuestra actividad, el registro de las actividades de tratamiento obligatorio para determinadas empresas, la introducción de nuevos derechos para el titular de los datos como el derecho de limitación del tratamiento y el de portabilidad de datos, para lo cual las empresas debemos contar con los medios técnicos adecuados para llevarlos a cabo.
Quiero destacar la nueva figura que introduce el RGPD del Delegado de Protección de Datos que sólo será obligatorio cuando la empresa cumpla unas determinadas premisas.
Por último, incidir en materia de Seguridad que el RGPD requiere medidas de responsabilidad activa para prevenir brechas de seguridad y establecer planes o protocolos de contingencia eficaces en el caso de que ocurran. Dicho esto, para mí, es muy importante tener en cuenta el papel que puede jugar el Esquema Nacional de Seguridad ante la autorregulación de la seguridad de los sistemas, junto con la adecuada aplicación de procedimientos particulares de cada organización para cubrir las garantías a las que se refiere el artículo 28 de la RGPD.
- Las nuevas tecnologías ¿jugarán un papel importante en este nuevo escenario?
No cabe duda de ello. Los tratamientos, cada día, son menos manuales y más automatizados. Hasta el punto de incorporar de manera detallada en la nueva normativa la generación de perfiles, y todo aquello relacionado con el big data.
De manera que el papel de las nuevas tecnologías es protagonista tanto desde el punto de vista de la seguridad de los datos, donde el Reglamento ya apunta a sistemas de cifrado de datos y seudonimización, como a la hora de facilitar a los interesados los medios técnicos para poder ejercitar sus derechos.
- En una de las preguntas anteriores se ha referido al Delegado de Protección de Datos. ¿Qué nos aportará esta nueva figura?
Al igual que las tecnologías, el Delegado de Protección de Datos está llamado a protagonizar momentos importantes de la protección de datos de los obligados al cumplimiento de esta normativa. No todas las entidades, organizaciones o empresas que deben llevar a cabo el cumplimiento de la protección de datos tienen que incorporar a su sistema un delegado de protección de datos. Este cargo lo puede desempeñar alguien interno o externo a la empresa y deberá contar con la formación especializada, si bien, hoy por hoy no es preceptivo acreditarse como tal, sí que es necesario que cuente con autonomía en su gestión, ya que va a intervenir como mediador entre la empresa y usuarios u organismos.
Aunque en nuestro caso no estamos obligados a contar con esta figura, la dirección de la compañía ha decidido incorporar esta figura a nuestro Sistema de Protección de Datos.
Para finalizar, me gustaría resaltar que en Medina Cuadros vamos a tomar todas las medidas tecnológicas y de prevención en general, dotándonos de mayores garantías que las obligadas, aunque estas sean bastantes. Para alcanzar este objetivo en los últimos años hemos incorporado a nuestra organización la certificación de Calidad ISO 9001 y actualmente, estamos trabajando para incorporar una nueva certificación sobre Seguridad de Datos: la ISO 27001.
Amelia Medina Cuadros
Socia Abogada y Directora de Auditoría Interna de Medina Cuadros
