La jornada informativa, gratuita previa inscripción, sobre la "Adaptación de la empresa a la noticia normativa en Protección de Datos (LOPD)", se celebrará el jueves 12 entre las 12 y las 13:30 horas en la sede de la entidad cameral santiaguesa. Dirigida a las pequeñas y medianas empresas, la charla estará impartida por la abogada Diana Fernández Soutullo, del bufete Soutullo & Asociadas.

El nuevo Reglamento General de Protección de Datos (RGPD) se aplicará a partir del 25 de mayo directamente sin necesidad de ninguna otra norma estatal. Pero en España, la LOPD del año 1999 no se derogó por la normativa europea, y actualmente se está tramitando una nueva normativa en el Parlamento español que sustituirá a la LOPD y será conforme a la normativa europea.  

Diana Fernández explica que el reglamento europeo protege únicamente datos de carácter personal, en lo que se refiere a las personas físicas, y exige a las empresas "responsabilidad" en materia de protección de datos de carácter personal. En concreto, se habla de responsabilidad proactiva (responsability) cómo uno de los principios que rige esta materia. 

"No se trata solo de que las empresas seamos responsables sino de parecerlo y demostrar que se adoptaron todas las medidas técnicas y organizativas para cumplir la normativa en materia de protección de datos. Su cumplimiento requiere una labor constante por parte de la empresa, lo que no implica una acción diaria pero sí un cambio en la orientación y actitud en materia de privacidad. El principio de privacidad por diseño señala que en el mismo momento de creación de un negocio tenemos que tener en cuenta la privacidad y no después, cuando el negocio ya está en marcha", destaca la abogada.

La experta indica que las empresas deben evaluar su estado en materia de protección de datos, partiendo en primer lugar de la documentación que ya dispone en esta materia de la implantación de la LOPD: documento de seguridad, inscripción de ficheros y políticas de privacidad, entre otros.

A continuación, y ya con el informe de la evaluación, la abogada indica que se pueden derterminar las acciones a implementar: finalidades de tratamiento de datos; los datos de carácter personal que son necesarios para conseguir esa finalidad (principio de minimización); las bases legales para el tratamiento de datos (consentimiento del interesado, contrato, deber legal); registro de tratamientos de datos, donde ya no es necesario la inscirpción de los ficheros ante la Agencia Española de Protección de Datos (AGPD); diferencia de los tratamientos realizados como Responsable de Tratamiento y Encargado de Tratamiento; actualización de contratos en materia de protección de datos y de políticas de privacidad; análisis de los riesgos para los derechos y libertades de los interesados; adopción de las medidas técnicas y organizativas acordes al tipo de tratamiento de datos; minimización de brechas de seguridad; formación a trabajadores en materia de privacidad; y protocolos de comunicación dentro de la empresa y con la AGPD. "Esta normativa exige a las empresas que traten datos a gran escala, independiente de la facturación o del número de trabajadores,  y contar con la figura del delegado de protección de datos, explica Diana Fernández.