AUTOR: PIEDAD NEGRO.

SENIOR CONSULTANT EN QUINT

Se puede aplicar el GDPR (Reglamento General de Protección de

Datos) sólo para cumplir la ley, o se puede ir más allá: prepararse para dar
resultados con la transformación digital. Como muchos sabrán, GDPR hace
referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de sus datos personales y su libre
circulación. Este Reglamento supondrá, la práctica derogación de la vigente
Ley de protección de datos, también conocida como LOPD y, con ello, la
necesaria adecuación al mismo. Como ya ocurría con esta última, el
Reglamento reconoce y protege una serie de derechos y libertades, que se
traduce en el necesario cumplimiento de un conjunto de obligaciones tanto por
parte del sector público como privado, pero con otro enfoque. En este sentido,
se pretende lograr un mayor grado de involucración de las organizaciones, y
con ello:

 El desarrollo de una actitud consciente, diligente y proactiva en

las organizaciones.
 El establecimiento de medidas adaptadas a las características de
cada organización.
 Una orientación al riesgo en base a la naturaleza, ámbito, contexto y fines
de tratamiento.
 ¿Pero el cumplimiento de estas obligaciones supone realmente un problema?
Aunque la amenaza de sanción (hasta un 4% del volumen de negocio
anual global) podría hacer pensar que sí, Quint defiende que es una
oportunidad, una palanca para dar los primeros pasos hacia un
verdadero gobierno del dato. No se puede caer en la práctica de los mismos
errores que durante la vigencia de la LOPD, y limitarse a desarrollar iniciativas
para salir del paso, evitando abordar la transformación real que requieren las
organizaciones respecto al tratamiento de datos. Por ello, ante este nuevo reto,
hay que preguntarse:

 Si ya se está cumpliendo con la LOPD, ¿se está preparado para respetar el

GDPR? No, es necesario adoptar nuevas medidas. En esencia, GDPR
modifica algunos de los aspectos del régimen actual y contiene nuevas
obligaciones dirigidas a:
o Reforzar la legitimación del tratamiento de datos.
o Reforzar la transparencia en la relación con el interesado.
o Reforzar los derechos reconocidos y las medidas que posibiliten su
ejercicio, incrementando las garantías de éste.
o Clarificar las responsabilidades y relaciones entre los diferentes roles
destacados, con la aparición de nuevos roles.
o Condicionar la adopción de medidas que apuntalen la responsabilidad activa
al riesgo.
 Si no se está adaptado… ¿a qué esperas? La fecha límite es hasta el 25 de
mayo de 2018.
 ¿Es el único reto legal al que tendrás que enfrentarte? No, ya que a corto plazo
se aprobará la nueva Ley Orgánica de Protección de Datos de Carácter
Personal, de la que se ha publicado el proyecto de ley. Esta debería entrar en
vigor también el 25 de mayo, y persigue garantizar una plena integración y
adaptación del Reglamento al ordenamiento interno español.
 ¿Cómo enfrentarse a su adecuación? Una posibilidad es optar por acciones de
“chapa pintura”, pero ¿por qué no dar un paso más?

Para Quint, el cumplimiento de GDPR abre la puerta a la ejecución de un

programa de medidas para la construcción del Gobierno Integral del Dato,
que abarque el tratamiento de cualquier dato manejado por nuestra
organización, sea o no de carácter personal. Para ello, se considera necesario
determinar soluciones a largo plazo, que permitan un crecimiento sostenible
y escalado. No sólo queremos que se cumpla hoy las obligaciones impuestas
legalmente, sino que éste sea un hito más en la estrategia del dato, en base a
la cual definir un plan con el que transformarse en una
verdadera organización orientada al dato.

Para hacer frente a este primer hito, relacionamos los requerimientos de GDPR
con nuestro modelo de global de gobierno del dato, fundamentado en el
marco DMBOK (Data Management Body Of Knowledge).
 Así, como ya apuntaba, el cumplimiento de GDPR debe integrarse como parte
de la Estrategia del Dato de las organizaciones, y, en consecuencia,
desplegar las actuaciones que hagan posible su cumplimiento, las cuales
impactarán sobre el resto de áreas (Seguridad, Arquitectura, Calidad & Control,
Operativa o/y Tecnología). Estas medidas no deben definirse de forma
independiente, sino coordinadas e integradas dentro de la cartera de
proyectos e iniciativas que se estén desarrollando en este ámbito.

Profundizando en sus disposiciones, GDPR incorpora requisitos que impactan

directamente en aspectos tan tangibles y propios a cualquier entidad, como
su organización. GDPR identifica una serie de roles (Delegado de Protección
de Datos – DPD -, Responsable, Encargado y Representante del Tratamiento)
que deben ser asumidos, y, sobre todo, ejercidos. Esto provoca la necesaria
definición de un verdadero modelo de gobierno en torno a los datos de
carácter personal.

Estos nuevos y/o actualizados roles, cuyas responsabilidades serán finalmente

completadas en la futura ley de protección de datos, suponen la adopción, en la
práctica, de medidas como:

 Calidad y Control:
o Una definición clara de roles y responsabilidades, así como su designación.
o El establecimiento del modelo de gobierno que facilite la interactuación ágil y
eficaz.
o El posible establecimiento de un equipo de soporte multidisciplinar para el
DPD, si fuera necesario.
o La actualización o establecimiento de los contratos y/o actos jurídicos que
formalicen la relación de estos responsables con la organización.
 Estrategia:
o La determinación de la política de contratación a seguir para asumir estos
roles.

Como ejemplo, y para entender el impacto de no abordar este tipo de

iniciativas, el ya comentado proyecto de Ley Orgánica considera falta grave,
entre otros, encargar el tratamiento de datos a un tercero sin la previa
formalización de un contrato u otro acto jurídico escrito.

Junto a los roles anteriormente comentados, ¿no se considera necesario

habilitar en la organización otras figuras que contemplen el gobierno del
dato en sentido amplio, homogeneizando su gestión y administración? En
Quint se considera imprescindible, ya que esta necesidad no es exclusiva de
los datos de carácter personal, y nuestra sugerencia es no limitarnos
únicamente a las prescripciones legales.

Otro aspecto de especial relevancia, y que impacta fundamentalmente sobre

la Operativa y Arquitectura del Dato, es la incorporación de los requisitos
enfocados en dos ámbitos:

 El ciclo de vida de los datos de carácter personal, incidiendo especialmente

en la evaluación de impacto (en los casos exigibles), el consentimiento, la
trazabilidad de los datos, y la gestión y tratamiento de fuentes.
 El ejercicio de los derechos reconocidos, a los que denominaríamos
derechos ARCO+, ya que supone una ampliación de los ya reconocidos por la
LOPD:
o Derecho de Acceso.
o Derecho Rectificación y supresión (derecho al olvido).
o Derecho a la limitación del tratamiento.
o Obligación de notificación por rectificación o supresión de los datos o limitación
del tratamiento.
o Derecho a la portabilidad de los datos, y su trasmisión a un tercero.
o Derecho de oposición.
o Derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, con efectos jurídicos o similar impacto.

En ambos casos, esto va a suponer, por ejemplo:

 Calidad y Control:
o Identificación y análisis de los procesos actuales, para actualizarlos y
adaptarlos en línea con esta norma.
 Operativa:
o La identificación y tratamiento de fuentes.
o Adecuación de los canales disponibles de interacción con terceros.
o La habilitación, en los casos que sea preciso, de instrumentos como:
 El registro de las actividades de tratamiento.
 El registro de las categorías de actividades de tratamiento.
o Arquitectura:
 La revisión y actualización tanto del modelo de datos, como de los datos de
referencia y datos maestros, así como de la estructura de metadatos utilizada.
o Seguridad:
 La definición y/o actualización de políticas de seguridad y acceso.
 La incorporación, antes del tratamiento, de la evaluación del impacto, cuando
sea necesario.

Lo que he recogido en este artículo es una relación no exhaustiva del trabajo

que puede suponer abordar esta adecuación, que permite hacernos una idea
de su envergadura. Así mismo, he querido evidenciar la importancia de
abordarla de forma integrada, en base a un plan de carácter
global,fundamentado en la estrategia global del dato de tu organización, en
la que esta adecuación constituiría un hito prioritario (recuerda que debemos
estar adaptados antes del 25 de mayo).

Por lo tanto, es conveniente no perder más tiempo, ya que seguramente

todavía queda mucho camino por recorrer, y nuevos retos a la vista, como la
futura Ley Orgánica que está a punto de aprobarse. Pero tampoco hay que
desesperar y hay que tener en cuenta que no hay que abordar el reto
solos, y que se se puede contar con el soporte y apoyo del equipo de
Quint para hacer más llevadero el camino hacia el gobierno del dato.