Con la fecha de cumplimiento obligatorio del Reglamento General de Protección de Datos (RGPD) cada vez más próxima, no dejan de surgir preguntas acerca de la correcta adecuación de las organizaciones a la nueva normativa y crece la incertidumbre sobre qué pasará una vez llegue la esperada fecha, el 25 de mayo.

En este contexto, Pérez-Llorca ha inaugurado el capítulo de Madrid de la IAPP reuniendo a muchos de los profesionales más destacados en la materia con el objetivo de abordar los retos que esperan a las empresas a partir del próximo día 25.

Las Jornadas fueron moderadas por los Co-Presidentes del Chapter de Madrid de la IAPP, Henry Velásquez, Compliance Manager & International Privacy Officer en Cigna, y Natalia Martos, Counsel de Pérez-Llorca. Ambos propusieron a los ponentes una serie de cuestiones relevantes para conocer más en profundidad las implicaciones del RGPD a futuro.

En primer lugar tomó la palabra Flora Egea, Data Privacy Officer de BBVA, quien puso de manifiesto los principales retos a los que se enfrenta y se enfrentará un Data Protection Officer (DPO). Entre dichos retos destacan, conocer la organización y cultura de la empresa, las tecnologías y medidas de seguridad con las que se trabaja y definir las funciones y ubicación del DPO dentro del organigrama corporativo. Egea también matizó que –a la luz de las dificultades que las empresas están teniendo en la implementación de las medidas exigidas por el RGPD– la fecha de aplicación obligatoria del RGPD el día 25 de mayo, no va a suponer una fecha límite para las compañías sino más bien un punto de partida. En este sentido, la agenda de los DPOs a partir de ese día no va a quedar vacía sino que comienza una labor encaminada a mejorar y monitorizar la implementación del RGPD para llevar a las empresas hacia el  pleno cumplimiento normativo.

Por su parte, Sergio Maldonado, Consejero Delegado y co-fundador de PrivacyCloud, ha aportado una visión más técnica y enfocada a producto, presentando las complejidades de la realidad digital a las que les son de aplicación el RGPD. Maldonado hecho especial énfasis en la peligrosa recopilación de datos por parte de aplicaciones y plataformas en línea por medio de un “consentimiento por capas”, subrayando la necesidad de desarrollar tecnologías para reescribir el statu quo de la actual privacidad e implantar verdaderamente un sistema de privacidad por diseño.  Para ello, Maldonado ha propuesto un modelo donde prime la autogestión de datos de carácter personal, en el que el interesado pueda controlarlos y tome conciencia de cuáles cede, a quién y en qué condiciones, al tiempo que se garantiza el ejercicio real de los derechos. De esta manera, se produciría una situación beneficiosa para todos en tanto que se facilitaría el cumplimiento normativo y las empresas obtendrían información mucho más precisa y veraz del cliente potencial.

Finalmente, Rafael García, Vocal Asesor Jefe del Área Internacional de la Agencia Española de Protección de Datos (AEPD), analizó la necesidad de armonización de criterios de las distintas agencias de protección de datos europeas, la posibilidad de recurrir a mecanismos alternativos para la resolución de diferencias –como ya prevé el Proyecto de Ley Orgánica– y destacó la necesidad de reestructurar internamente la AEPD para su plena adaptación al RGPD. En cuanto a la figura del DPO, reflexionó sobre la necesidad de evitar que esta figura acapare todas las responsabilidades en materia de protección de datos y abogó por la concienciación de todas las áreas de las empresas  para distribuir y coordinar la supervisión de su cumplimiento.

Tras estas intervenciones, el público participó en un debate en el que se abordaron temas tan actuales como el blockchain y los smart contracts, los cuales han quedado fuera del RGPD por ahora y suponen sin duda grandes retos en un futuro próximo. Otras cuestiones que se trataron fueron la tendencia hacia a un mayor interés y concienciación por parte de los ciudadanos del tratamiento de sus datos personales o la transparencia y la aplicación extraterritorial del RGPD a terceros estados.