redseguridad 073

protección de datos

entrevista

"El Reglamento también se va a aplicar a las empresas que no están establecidas en la UE, pero desarrollan dentro de ella actividades de tratamiento relacionadas con la oferta de bienes o servicios"

Europeo de Protección de Datos? Si el tratamiento se lleva a cabo en el lugar del establecimiento principal, sólo hay que hablar con la autori- dad nacional. Será esa autoridad la que está obligada a hablar con sus socios en otros países de la UE para adoptar una decisión uniforme, armonizada, frente a un problema con el tratamiento. En caso de que se cuestione la decisión de una autoridad nacio- nal de protección de datos por parte de otro país, ¿cómo se diri- mirá el asunto en esta cuestión? En el Reglamento hay un mecanismo según el cual si una autoridad nacio- nal supervisora toma una decisión sobre una empresa y otra autoridad nacional no está de acuerdo, se reúne al resto de autoridades de protección de datos para dirimir la cuestión. Es lo que se llama Consejo Europeo de Protección de Datos, que puede decidir de manera unifor- me cómo solucionar el problema en cuestión y cada autoridad nacional tendrá que seguir este dictamen.

los ciudadanos y a las empresas. ¿Cómo tendrán que proceder los ciudadanos y las empresas para plantear reclamaciones u otras gestiones? Para las personas no va a cambiar nada porque si un ciudadano tiene algún problema con la gestión de sus datos lo puede hacer a través de su agencia nacional de protección de datos. Sin embargo, para las empresas internacionales el cambio será que a partir de ahora podrán hablar sólo con una agencia de protección de datos, no hará falta que lo hagan con todas. Hoy, si una empresa tiene establecimientos en toda la Unión Europea, necesita hablar con las 28 autoridades nacionales, que basan sus decisiones en diferentes con- ceptos. Con el nuevo Reglamento Europeo de Protección de Datos, una empresa española con su esta- blecimiento principal en España, pero que hace tratamiento de datos per- sonales en otros países de Europa, necesitará únicamente hablar con la Agencia Española de Protección de Datos, no con la de Irlanda, Alemania u cualquier otra. Es una manera de facilitar y simpli- ficar el tratamiento de datos perso- nales en toda Europa, porque nece- sitamos empresas que lleven a cabo este negocio sin muchas barreras legales. No obstante, tras la creación de esa “ventanilla única”, ¿ante quién tendrán que responder aque- llas empresas u organismos que incumplan el nuevo Reglamento

¿Qué medidas van a tener que implementar las empresas para proteger sus datos? Esta cuestión está relacionada con el concepto de rendición de cuentas. Es el responsable de protección de datos quien decide cómo debe ase- gurarse de cumplir el Reglamento. Este profesional tendrá que efec- tuar un análisis de riesgos y utilizar las medidas de seguridad que crea necesarias; pero la norma no le indi- ca qué debe hacer de manera espe- cífica, sino simplemente que garanti- ce el cumplimiento de sus principios. ¿Qué sucede con aquellas empre- sas que operen fuera de la UE con los datos de ciudadanos pertene- cientes a ella? El Reglamento tiene un nuevo ámbito territorial porque se va a aplicar tam- bién a las empresas que no están establecidas en la UE, pero desarro- llan actividades de tratamiento rela- cionadas con la oferta de bienes o servicios en la UE. Es decir, las empresas fuera de la UE necesitan también aplicar el Reglamento.

Thomas Zerdick participó en el VIII Foro de la Privacidad de ISMS Forum en febrero, para anunciar la inminente publicación del Reglamento Europeo de Protección de Datos.

segundo trimestre 2016 red seguridad 23