Anna Riasol, consultora de Aplicaciones, Soluciones y Servicios, S.L. (ASSPlus) y Miquel Serrano, delegado de Protección de Datos (DPD) de la Fundación Salud y Comunidad (FSC), nos trasladan en esta entrevista cuestiones primordiales sobre la protección de datos que debemos conocer en nuestro desempeño profesional, para que de esta forma sean garantizados los derechos de las personas a las que atendemos sobre el control de su información personal, así como sobre la confidencialidad, integridad y disponibilidad de esta, entre otras muchas cuestiones de gran interés que nos explican.

– En primer lugar, nos gustaría que os presentarais y que nos comentarais un poco las funciones que realizáis, en relación a la tarea encomendada por nuestra entidad.

Sí, por la naturaleza de los tratamientos de datos que realiza la Fundación Salud y Comunidad, es obligatorio cumplir con las normativas vigentes en protección de datos.

Aplicaciones, Soluciones y Servicios, S.L. (ASSPlus), que es la consultoría que realiza esta tarea, está especializada en Protección de Datos, contamos con más de 25 años de experiencia, y ha sido contratada por FSC para prestar el servicio de asesoramiento y de delegado de Protección de Datos.

En mi caso, Anna Riasol, soy la consultora designada para que os acompañe y ayude en el correcto cumplimiento de las normativas.

Por la tipología de datos de FSC, es obligatorio disponer de un delegado de Protección de Datos (DPD), por ello se designó a J. Miquel Serrano como DPD de FSC. Sus principales funciones son informar y asesorar, supervisar, formar, cooperar y actuar como punto de contacto con la autoridad competente, intervenir en caso de reclamación, entre otras.

– ¿Cuáles consideráis que son los aspectos fundamentales que debería saber un empleado/a de FSC sobre protección de datos, en relación a la normativa más reciente?

Es fundamental que los equipos de profesionales de FSC que realizan tratamientos de datos de carácter personal conozcan las normativas vigentes, como se trasladó en la sesión formativa que hicimos a través de videollamada, ya hace algunas semanas.

Por ese motivo, se impartirán diferentes sesiones formativas para divulgar y difundir las normativas que nos aplican.

Es complicado describir unos aspectos clave; dependiendo de la tarea que desarrolla cada empleado/a, debe tener más en cuenta unos aspectos u otros de la normativa.

– ¿En qué se diferencia el RGPD de la legislación actual de protección de datos de la legislación anterior?

Algunas de las diferencias más relevantes son:

Deja de tener validez la aceptación implícita a la hora de dar el consentimiento al uso de sus datos. En este caso, ahora es necesario que la autorización sea explícita e inequívoca para cada tipología de tratamiento.

El RGPD cambia sustancialmente el abanico de derechos de los ciudadanos/as que existían en la antigua LOPD y los amplía.

Por otro lado, encontramos diferencias en el apartado de las sanciones. Respecto a la antigua normativa, apreciamos un endurecimiento importante.

El RGPD establece en sus artículos 33 y 34 la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de notificar a la Autoridad de Control competente las brechas de seguridad que puedan ocasionar daños y perjuicios sobre las personas y, si esos daños son graves, comunicar la brecha a  las personas cuyos datos  se hayan visto afectados para que puedan tomar sus propias medidas. El plazo para notificar a la Autoridad de Control es de máximo 72 horas desde que la organización es conocedora de la brecha.

El RGPD introduce la figura del Delegado de Protección de Datos.

– ¿Qué derechos reconoce el RGDP a las personas afectadas?

El Reglamento Europeo de Protección de Datos (RGPD) contiene una serie de derechos de los usuarios/as y/o sus representantes legales que pueden ejercer ante FSC, ante el encargado del tratamiento, según corresponda, o también ante el delegado de Protección de Datos.

Derecho de acceso, rectificación, supresión u olvido, limitación, oposición, portabilidad y no ser objeto de decisiones individuales automatizadas. También, puede retirar el consentimiento prestado.

Estos derechos pueden ejercerse directamente o por medio de representante y su ejercicio tiene carácter gratuito.

Si FSC recibe una solicitud de ejercicio de derechos, el delegado de Protección de Datos debe responder a la solicitud sin demoras indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud.

–  De acuerdo al RGPD, ¿cómo debe solicitarse el consentimiento de los interesados/as para tratar sus datos personales?

El RGPD aplica normas estrictas para el tratamiento de datos basadas en el consentimiento. El objetivo de estas normas es garantizar que el interesado/a comprenda lo que está consintiendo. Eso significa que el consentimiento debe darse de manera libre, específica, informada e inequívoca, mediante una solicitud presentada en un lenguaje claro y sencillo. El consentimiento se expresará mediante un acto afirmativo, como marcar una casilla online o firmar un formulario.

Cuando una persona consienta el tratamiento de sus datos personales, solo se podrán tratar para los fines para los que haya dado su consentimiento.

También debe ofrecérsele la posibilidad de retirar su consentimiento.

¿Podría conllevar algún tipo de sanción al empleado/a el incumplimiento de la LOPD por su actividad realizada en el entorno laboral?, ¿de qué tipo?

Depende de la infracción y de la intencionalidad de la misma.

– ¿En qué caso o casos podría recaer sobre el empleado/a?

Si una persona empleada de FSC, obra dolosamente, obteniendo beneficio económico, o no, tratando datos de forma ilícita, lo más probable es que la sanción recaiga sobre la persona empleada.

–  En su opinión, ¿están las entidades españolas preparadas para instaurar el RGDP?

Deberían, pero no todas se han puesto a ello, esta irregularidad les puede acarrear sanciones económicas y les puede perjudicar gravemente la imagen corporativa, la reputación y el valor de la entidad.

– En el caso de FSC, ¿en qué momento consideran que se encuentra la labor de adaptación al RGPD?

FSC está realizando un trabajo importante en este sentido, es una tarea del día a día cumplir correctamente con las normativas.

– ¿Cómo se acreditará que se cumple con el RGPD y ante qué entidad/entidades?

En este momento, a las administraciones públicas que solicitan evidencias o en proyectos o servicios que se realizan auditorias sobre el cumplimiento de las normativas que nos aplican, ya estamos acreditando y demostrando que FSC y sus empleados/as cumplen con las normativas vigentes.