En este post os ofrecemos íntegramente la entrevista que Europa Press realizó al Director General de Conversia, Alfonso Corral, con motivo de la plena aplicación del Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo.

– ¿Cuáles son los aspectos principales del nuevo Reglamento General de Protección de Datos (RGPD)?

El RGPD representa un nuevo marco único común, cuyo cometido es unificar la legislación en materia de privacidad y protección de datos en todos los Estados miembro de la UE. Esta nueva normativa, por un lado, actualiza y refuerza los derechos de los ciudadanos sobre su información personal, proporcionándoles un mayor control sobre sus datos e integrando aspectos del entorno digital que hasta ahora no habían sido contemplados en legislaciones anteriores. Por el otro, impone cambios muy sustanciales para quienes tienen la obligación de cumplir con dicha normativa.

El RGPD establece una serie de novedades y obligaciones a las que las empresas, entidades y profesionales liberales, como Responsables del Tratamiento, están sujetos y que, en consecuencia, desde el día 25 de mayo, deben de haber integrado ya en los procedimientos establecidos para dar cumplimiento a esta nueva normativa. Entre estas novedades, destacan la obligación de realizar el análisis de riesgos de las operaciones de tratamiento, analizar la necesidad de llevar a cabo la evaluación de impacto, la creación de la nueva figura del Delegado de Protección de Datos (DPD), el incremento muy significativo de las sanciones o los nuevos derechos de los interesados.

– ¿Qué puede suponer para las empresas?

Como decía, el RGPD es más garantista con los derechos de los ciudadanos y más exigente con los Responsables del Tratamiento. Sin duda, esta nueva normativa va a modificar de forma muy sustancial la forma en que las organizaciones gestionan la protección de datos, debiendo adoptar medidas conscientes, diligentes y proactivas.

Pero, además de obligarles a establecer esta serie de medidas, necesarias para asegurar el adecuado tratamiento de los datos personales que posean y gestionen, el RGPD insta a las empresas a demostrar que lo están haciendo, mediante la adopción del requisito de “responsabilidad proactiva” y el cumplimiento del principio de “privacy by design by default” (privacidad desde el diseño y por defecto).

– ¿Cómo afecta a las empresas españolas?

Las empresas españolas se ven afectadas como las de cualquier otro país de la UE, ya que el RGPD es de aplicación directa, es decir, no requiere ser transpuesto en ninguna ley nacional que vehicule su cumplimiento. Por tanto, a partir de 25 de mayo, su mandato es absoluto en todos los Estados miembro.

Adicionalmente, los países que lo consideren oportuno van a poder definir normativas propias que ayuden a establecer los diversos desarrollos que sean necesarios para vehicular determinados aspectos del RGPD.

– ¿Hay algún punto de la legislación española que diferencie la aplicación del RGPD con el resto de compañías europeas?

En este sentido, España se encuentra inmersa en la creación de una nueva Ley Orgánica de Protección de Datos, actualmente en fase de proyecto, que sustituirá a la existente LOPD. Esta nueva Ley concretará y desarrollará ciertos apartados del RGPD, puesto que el propio reglamento establece la posibilidad de que sus directrices puedan ser especificadas o restringidas, en ámbitos específicos, por los Estados miembro.

Hay otros países, como Alemania, en los que ya se han aprobado o se están desarrollando leyes nacionales que estipularán el modo en que se van a desarrollar determinados aspectos del RGPD. Por tanto, en España, como en otros países, además de cumplir con el RGPD, dispondremos de una legislación propia en la que se definirán determinadas particularidades que nos darán a conocer cómo deberán concretarse algunos de los requerimientos del reglamento.

– La no aplicación del RGPD implica sanciones a las empresas. ¿De qué cantidades estamos hablando? ¿Cómo puede afectar a las pequeñas y medianas?

Ciertamente, esta es una de las novedades que más impacto está teniendo, puesto que con la aplicación del nuevo reglamento, se ha producido un exponencial incremento en la cuantía de las sanciones impuestas por incumplimiento de la normativa. La diferencia respecto al baremo de sanciones establecido en la LOPD, cuyo importe máximo era de 600.000 euros, es más que sustancial y va desde los 10 a los 20 millones de euros, o cifras superiores, en función de la magnitud de negocio que alcance el infractor (respectivamente, 2% o 4% del volumen de negocio anual global del ejercicio financiero anterior).

Está claro que una sanción del RGPD es, sin duda, un factor que puede ser absolutamente demoledor para la supervivencia de la mayoría de negocios, muy especialmente para las pequeñas y medianas empresas.

– Las empresas europeas han tenido un plazo de dos años para prepararse para la aplicación de esta normativa. ¿Están las españolas preparadas para ello?

Es prácticamente imposible calcular el número de empresas que actualmente ya están adaptadas al nuevo reglamento, pero teniendo en cuenta que el 99,8% de las empresas que hay en España son pymes y que éstas son las que presentan más dificultades a la hora de cumplir con las nuevas normativas, podemos estimar un porcentaje bastante bajo. Sin embargo, la mayoría de grandes empresas, así como las administraciones y organismos públicos, sí que han iniciado el camino de la adecuación al RGPD desde ya hace meses, a tenor de lo que estamos viendo publicado en diversos medios de comunicación nacionales, que ya se han ido haciendo eco de ello, si bien es verdad, bajo mi opinión, que en el global del tejido empresarial aún queda un largo camino por recorrer.

– ¿Qué cambios han tenido que realizar para adaptarse?

La adaptación a la nueva realidad normativa obliga a las empresas a realizar un cambio de mentalidad en su cultura de la seguridad de la información, puesto que el RGPD deja el papel protagonista a las propias compañías, y son éstas las que han de definir mediante la identificación, análisis y gestión de sus riesgos, su información “sensible” y, tras ello, establecer políticas, procedimientos internos, así como procesos de gestión, en especial una actitud proactiva frente a los tratamientos de datos personales, que les permita cumplir con el novedoso marco normativo europeo.

– Durante estos dos años Conversia ha estado trabajando junto cerca de 39.000 empresas para el cambio, ¿en qué ha consistido este asesoramiento?

Durante este periodo de transición de 2 años, en Conversia hemos asesorado y guiado a más de 39.300 empresas, profesionales y entidades en su proceso de adecuación gradual a esta nueva normativa. Esto les ha permitido llevar a cabo una implementación progresiva de las adecuadas políticas y procedimientos, de tal modo que nuestros clientes han podido alcanzar con éxito la fecha de aplicación definitiva del RGPD, teniendo implantadas todas las medidas necesarias para asegurar el adecuado tratamiento de los datos personales que posean y gestionen.

– Para aquellas empresas que aún no se han adaptado al nuevo RGPD, ¿qué se les puede recomendar?

Nuestra recomendación a aquellas empresas que aún no estén adaptadas, es que no lo demoren ni un minuto más, que busquen el asesoramiento de una empresa especializada en la materia y que inicien cuanto antes el proceso de adecuación de sus actividades a esta nueva realidad normativa.

– ¿Es posible demorar la aplicación del RGPD? Patronales catalanas como Pimec lo han pedido.

La petición lanzada por Pimec responde a la preocupación que está generando el nuevo reglamento entre el sector privado y a la dificultad, que comentaba anteriormente, que tienen las pequeñas y medianas empresas de integrar cualquier cambio normativo. Pero, por eso, precisamente, el Reglamento preveía un plazo de 2 años, durante el cual las empresas han tenido margen suficiente para poder adaptarse.

En este sentido, desde la Autoridad de Control son conscientes del importante impacto que esta nueva normativa tiene en el entorno empresarial. Por esta razón, hemos visto como la Agencia Española de Protección de Datos (AEPD) ha salido al paso manifestando que la intención de este organismo no es ensañarse con el sector empresarial, sino que, durante los primeros meses, actuarán bajo un criterio de flexibilidad, aunque siempre con rigor.

Lo cierto, es que la aplicación del RGPD es ya una realidad. Eso es incuestionable y tal y como había venido advirtiendo la propia directora de la AEPD, Mar España, en nuestro país el RGPD se está aplicando desde el minuto uno, sin régimen transitorio, ni plazos, ni prórrogas.

Entrevista al Director General de Conversia, Alfonso Corral, con motivo de la plena aplicación del RGPD

Director General de Conversia

Puedes leer la repercusión que ha tenido esta entrevista en diversos medios de comunicación como La Vanguardia, El Periódico, Aldia, Gente Digital, Eco Diario o Bolsa Manía.