Un nuevo paradigma en la protección de datos de carácter personal. Aviso a navegantes.
Compartir
¿Cómo vas a demostrar que eres proactivo en el cumplimiento del RGPD?
Ésta es la pregunta clave que tenemos que hacernos si no queremos tener problemas en el tratamiento de datos de carácter personal, y no, nos vale con decir que tengo detrás una empresa externa que me “asesora” en la implantación de RGPD, porque eso no demuestra nada. Ni tampoco sirve decir que esa empresa externa es la que debe de demostrarlo o que asume dicha responsabilidad, puesto que esa figura de “empresa externa”, en la Agencia Española de Protección de Datos, ni existe, ni se le conoce, ni se le espera. Eres tú como administrador de fincas el que consta para la AEPD como en cierta manera y de facto “responsable” de los datos que tratas y por consiguiente, es a ti, a quien compete demostrar que eres proactivo en el cumplimiento, tarea ésta que se antoja difícil, por no decir imposible, con el tratamiento que se le ha dado hasta el momento a la externalización de este servicio utilizando empresas externas que ”asesoran”, mejor o peor, pero que no asumen responsabilidad alguna, ni pueden asegurarla por mucho que se empeñen (los incumplimientos legales no son asegurables, sería una forma demasiado fácil para transgredir la Ley, o lo que no se sabe si sería peor, dejaría de tener la efectividad para la que fue creada). En definitiva, asesorar es distinto a asumir responsabilidades.
Aunque tu no lo sepas, tarde o temprano, tendrás tu propio Delegado de Protección de Datos Certificado por la AEPD y cuanto antes mejor, no vaya a ser que mientras decides, tengas innecesariamente algún problema.
El eje central sobre el que gira el RGPD y la LOPD y GDD, es la demostración de la proactividad, esto es, poder demostrar que se han tomado las medidas técnicas y organizativas adecuadas para dar cumplida respuesta a lo establecido legalmente, sin especificar en qué consisten estas medidas, ancha es Castilla.
A veces nos empeñamos en seguir la corriente e implantar servicios externos en nuestros despachos simplemente porque así nos han sido recomendado, ya sea a través del respectivo colegio profesional o a través de algún compañero. No nos molestamos en analizar por nosotros mismos las ventajas y beneficios que puede aportarnos dichos servicios y si realmente son necesarios, ni siquiera analizamos si es posible disponer de algún otro que mejore significativamente la opción original que nos plantean.
No hay nada peor para la viabilidad de cualquier negocio que volverse anticuado. No actualizar los servicios a los requerimientos de los nuevos tiempos o simplemente el no adoptar nuevas soluciones que aporten mayores ventajas competitivas y por ende mayores beneficios supone a medio plazo morir por obsolescencia, o lo que es peor, vivir con una continua espada de Damocles sobre nuestras cabezas y rezar día a día para que no tengamos ningún problema.
Vamos ya para más de 3 años desde la promulgación de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales . Durante este tiempo nos hemos empeñado en continuar con la solución que se optó con la antigua LOPD, cuando, tanto la nueva Ley como el propio Reglamento General de Protección de Datos, nos aportan unas opciones infinitamente mejores que el simplemente hecho de disponer de una empresa externa que asesora en la implantación y nos resuelven alguna que otra duda sin asumir responsabilidad en este desempeño y todo ello, amparado en la falacia de que no es obligatorio para el caso de los administradores de fincas optar por la mejor opción que contempla la nueva legislación, esto es, disponer de tu propio Delegado de Protección de Datos, lo cual, por otro lado es una verdad a medias, puesto que, con más frecuencia de lo habitual en los despachos profesionales de administradores de fincas se desarrollan actividades que la propia Ley sí que está obligada a disponer de tu propio Delegado de protección de Datos y en tal caso, decir que no es obligatorio sin tener en cuenta las particularidades de ciertos despachos, es mentir a través de una media verdad, . Tal es el caso de desarrollar actividades jurídicas, inmobiliarias o de seguros dentro del propio despacho o manejar un volumen de datos significativos, aspecto éste último no cuantificado en la legislación y que deja a criterio de la inspección su valoración. ¿Qué significa manejar un volumen significativo de datos personales en la administración de fincas? ¿a partir de 30, 50,70 o más comunidades? En este caso, debería ser la prudencia el hilo conductor de esta decisión, entendiéndose que un despacho profesional con más de 50 comunidades estaría en condiciones de manejar un volumen de datos importantes y por consiguiente proceder a disponer de su propio DPD, eliminando así, la incertidumbre que recoge la legislación en este aspecto y no jugársela con los conceptos jurídicos indeterminados.
Haber obviado esto, supone poner en riesgo de incumplimiento normativo de manera gratuita a una cantidad de profesionales que desarrollan dentro de sus despachos una, dos o las tres actividades anteriores o manejan un volumen de datos significativos. Este lapsus, no deja de ser curioso, demasiados intereses y pocas ganas de asumir responsabilidades por parte de quien hasta ahora ha venido desarrollando y asesorando en esta materia.
Con independencia de la obligación de disponer de un DPD en los casos anteriores, hay que resaltar que el que algo no sea obligatorio, no significa que no sea la mejor opción posible y que a pesar de su no obligatoriedad, a la postre, ésta sea la que nos aporte mayores ventajas, beneficios y tranquilidad. Prácticamente la totalidad (por no decir todas) las Comunidades gestionadas por administradores de Fincas profesionales tienen algún seguro multirriesgo contratado o como mínimo uno de responsabilidad civil, en cambio, no existe obligatoriedad de contratar póliza de seguros alguna para una comunidad, pero, los profesionales saben que es lo mejor para su cliente y por eso aconsejan su contratación, aunque no sea obligatorio. Esto mismo aplica a la protección de datos. Tampoco es obligatorio disponer de tu propio DPD (salvo los casos anteriores mencionados, esto es, realizar actividades jurídicas, inmobiliarias o de seguros, o manejar un volumen de datos no cuantificados), pero disponer de él aporta mayores beneficios que el no tenerlo.
A diferencia de la antigua LOPD, el nuevo reglamento no centra su cumplimiento en disponer de carpetas de papeles obsoletos y no actualizados, muy aptas para almacenar polvo, si no que por el contrario, la clave radica en poder demostrar que eres PROACTIVO en el cumplimiento, esto es, si has tomado las medidas técnicas y organizativas suficientes para minimizar cualquier brecha, fuga o mal uso de los datos personales y que mejor manera de demostrar la proactividad en el cumplimiento de RGPD que, no siendo obligatorio , dispongas de tu propio DPD, el cual asume la responsabilidad de su implantación, estando reconocido por el propio reglamento como una figura clave a la hora de controlar e implantar la normativa en materia de protección de datos. Disponer de tu propio DPD y registrarlo ante la AEPD, supone un antes y un después en protección y garantías de cumplimiento, porque entre otras cosas, ya no eres tú el responsable de la implantación, sino que es el DPD nombrado al efecto. Ésta figura, sí que es reconocida por la AEPD a diferencia de las “empresas externas” que ni están ni se le esperan.
Y puesto que disponer de tu propio Delegado de Protección de Datos es la mejor opción posible para no tener problemas y de la que podemos obtener mayores réditos, aun podemos superar los beneficios de tener tu propio DPD, exigiendo que éste sea un DPD Certificado por la propia Agencia Española de Protección de Datos, simplemente porque si el DPD es CERTIFICADO, aún aporta más valor al despacho por muchos motivos, pero basta nombrar solo un par de ellos.
Así, un DPD CERTIFICADO por la AEPD tiene delegadas las competencias de la propia Agencia para investigar y documentar cualquier expediente que afecte a su cliente, actuando como un paraguas de protección, solo con esta ventaja, sería más que suficiente para tener tu propio DPD CERTIFICADO y no recurrir a empresas externas que solo asesoran pero no asumen responsabilidades, pero es que además, tener tu propio DPD CERTIFICADO, te permite obtener los beneficios de poder utilizar un sello de calidad otorgado por la propia AEPD, que te aportará, calidad y excelencia en el tratamiento de datos, o lo que es lo mismo, diferenciación, lo que te permitirá defender mejor tu propuesta de valor, esto es, sacar beneficios de un servicio que se externaliza, a diferencia de la solución aportada por empresas externas donde no obtienes ningún redito de la misma.
Por otro lado, de cara a la Comunidad, es mucho más fácil justificar la contratación, puesto que, no es lo mismo pagar por una empresa externa que asesora (función que podría entender el cliente que debería ser asumida por el propio administrador) a realizar un nombramiento de un DPD CERTIFICADO como agente externo donde se delega todo lo relacionado con la implantación del tratamiento de datos, actuando como un paraguas de protección real ante cualquier problema que pueda surgir.
No hay que olvidar que, de facto, aunque el administrador de fincas actúe como encargado del tratamiento, no es menos cierto que en la práctica es el responsable de su tratamiento por cuanto es la única persona que procesa y custodia dichos datos. Esta responsabilidad obliga a extremar la precaución e implantar todas las capas de seguridad necesarias que nos permita superar de forma airosa cualquier contratiempo. Y entre las capas de seguridad que el propio reglamento establece, la de mayor calado y protección es que dispongas de tu propio DPD, y si este es certificado por lo dicho anteriormente, mucho mejor.
Llegado a este punto, cabría preguntarse si disponer de la mejor opción posible, esto es, disponer de tu propio DPD CERTIFICADO es más cara que otras opciones que no aportan absolutamente nada, y la respuesta es simple: NO. No es más cara, a veces incluso es más económica, es más, podría afirmar, sin margen de error significativo, que la inmensa mayoría de las veces es más económica.
¿entiendes ahora por qué afirmaba que tarde o temprano tendrás a tu propio DPD CERTIFICADO POR LA AEPD?
¿Cómo voy a demostrar que soy proactivo en el cumplimiento del RGPD? La respuesta es fácil, teniendo a mi propio DPD CERTIFICADO, ya se encargará él que la demostración de tu proactividad sea contundente y sin ningún género de dudas puesto que, el nombramiento de un DPD representa la mayor medida que podemos tomar a la hora de cumplir con el principio de responsabilidad proactiva según recoge la propia legislación.
Por suerte, en la medida que ésta figura del DPD CERTIFICADO, es cada vez más conocida entre los administradores de fincas, se está produciendo su implantación de manera exponencial.
¿hasta cuando vas a esperar para disfrutar de las ventajas y beneficios que supone tener tu propio delegado de protección de datos certificado por la AEPD?
Cristóbal Contreras Navarro
Administrador de Fincas Colegiado del Ilustre Colegio de Administradores de Fincas de Málaga.
CEO DE FINCATECH.
Móvil: 659041131
Fijo: 952792038