Aplicaciones informáticas para el GDPR: adaptar empresas o crear una cultura de privacidad


Josep Aragonés Salvat     23/05/2016

Comunicación realizada por Josep Aragonés Salvat en el IV Congreso Nacional de Privacidad APEP de Barcelona, el 20 de marzo de 2016


Durante este congreso hemos escuchado cosas muy interesantes sobre privacidad, pero en mi intervención quiero centrarme en el trabajo cotidiano que tenemos nosotros, los consultores, y en el cambio que nos viene encima a consecuencia de la sustitución de la LOPD por el nuevo reglamento europeo. Primero que nada hablaré de las prácticas utilizadas para realizar adaptaciones a la LOPD y de la nueva interpretación de la protección de datos basada en la cultura de privacidad.

Cuando realizamos una adaptación, lo primero que debemos analizar es cómo transmitimos el servicio al empresario, si es por una obligación legal, para evitar sanciones o es por una concienciación de privacidad, donde lo más importante es la protección de datos.

Hasta ahora se adaptaba para cumplir la normativa y se informaba al empresario con multitud de documentos que reflejaban la obligación legal como son la notificación de ficheros, el documento de seguridad, etc. A partir de ahora, como ya no existirán estas obligaciones, deberemos concienciar al empresario de la protección de datos, y para ello, lo mejor es que se identifique como un interesado.

Cuando el empresario se pone en la piel del interesado, es cuando empezamos a crear cultura de privacidad. Si a cada operación de tratamiento incorporamos la visión como interesado, estaremos dando sentido a la protección de datos y el empresario estará predispuesto a pensar en ella antes de diseñar un nuevo tratamiento... no por una obligación legal, que también, sino porqué está concienciado de ello. Esto es cultura de privacidad: la concienciación.
 

¿Qué debemos aprovechar de la LOPD?


Pues mucho. El nuevo reglamento recoge el espíritu de la LOPD y la mayoría de disposiciones en ella establecidas. No es un cambio radical, es un cambio de concepto. Aunque existen nuevos preceptos adaptados a la actualidad, la base fundamental sigue siendo la misma y todo el esfuerzo realizado hasta ahora no habrá sido en vano.


La oportunidad del GDPR


La oportunidad nos viene dada ¡ahora!, no dentro de un año o de dos. Como consultores, debemos aprovechar la publicidad que generará la entrada en vigor del nuevo reglamento porqué creará una preocupación en las empresas para saber en qué medida les afecta. Este es el momento para diferenciarnos de los demás y empezar a adaptar ya a la nueva normativa. Para ello, y no menos importante, es que los desarrolladores de aplicaciones informáticas también cambien de chip para adaptarse lo más pronto posible al nuevo reglamento.

De estas aplicaciones depende que, a nosotros los consultores, nos sea más fácil concienciar a nuestros clientes del cambio entre ... adaptar empresas, como venimos haciendo hasta ahora, o concienciarlas de la protección de datos.
 

Las aplicaciones informáticas


Como miembro de una empresa que desarrolla aplicaciones de privacidad voy a compartir con vosotros nuestra manera de ver el diseño de una aplicación para adaptarse a la nueva normativa.  Para nosotros existen tres principios fundamentales que deben estar presentes en toda aplicación:
 
  • La formación.
  • El cumplimiento de la normativa.
  • La concienciación.
 

La formación


La formación es imprescindible. Las aplicaciones informáticas deben ser capaces de transmitir al empresario la formación que precisa, de forma clara, sencilla y ajustada a la singularidad de su empresa. Solo así entenderá que debe diseñar su organización para la protección de datos. Si el empresario comprende y se conciencia del objetivo, adoptará una actitud proactiva para aplicar el reglamento. Esta va a ser nuestra gran labor:
 
  • Concienciar el empresario.
  • Contribuir a su formación.
  • Y revisar las operaciones de tratamiento que realiza para establecer una correspondencia entre los procedimientos usados y el cumplimiento de la normativa.
 

El cumplimiento de la normativa


La aplicación deberá poder asignar a cada fichero las categorías de datos y de tratamiento que les correspondan, ya que el reglamento dispone de normas específicas para cada una de ellas.

Deberá poder aplicar a cada fichero los principios del tratamiento y revisar su cumplimiento.

Deberá poder diseñar una política de información que asegure la transparencia con el interesado y crear una política de seguridad personalizada para cada empresa.

Y también deberá disponer de mecanismos para aplicar normas específicas relativas a transferencias internacionales, elaboración de perfiles y tratamientos a gran escala o con un alto riesgo que precisen una evaluación de impacto.

Y lo más importante, deberá generar informes que ofrezcan una información útil al empresario, para que se dé cuenta que lo que está llevando a cabo tiene una importancia vital para su empresa y que repercute en la sociedad.
 

La concienciación


La aplicación debería propiciar la implicación directa del empresario, posibilitando su acceso a la misma para incorporarla a su sistema organizativo como una herramienta de uso habitual como lo son la facturación o la contabilidad. Solo así tendrá la percepción que no es una obligación legal sino que la protección de datos va incluida en la gestión cotidiana de la empresa.
 

Conclusiones


Reiteraros que el nuevo reglamento nos brinda una oportunidad única que tenemos que aprovechar. Empecemos a olvidarnos de la LOPD, apostemos ya por el GDPR y así conseguiremos que la concienciación impere sobre la obligación.

De nosotros depende cambiar la cultura de la legalidad por la de privacidad, por lo que os animo a esforzaros para alcanzar este objetivo. Si lo conseguimos, nuestro trabajo va a ser valorado y nuestra profesión respetada.


Puede consultarse el contenido completo de la ponencia en: https://ateneu.eu/aplicaciones-informaticas-gdpr-cultura-legalidad-o-cultura-privacidad-c226