UNO, la Organización Empresarial de Logística y Transporte, analizó en una mesa redonda el impacto que tendrá en el sector de la logística y el transporte la entrada en vigor de la Ley de Protección de Datos en España el próximo 25 de mayo. En ella, Bonet Consulting, Cámara Certifica y Fiabilis analizaron los desafíos que tienen que afrontar las empresas ante este nuevo texto legal porque, en la mayoría de los casos, tal y como quedó reflejado, las compañías no se han adaptado a los nuevos requisitos.

En mayo de 2016, entró en vigor el Nuevo Reglamento Europeo de Protección de Datos2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). Asimismo, el 24 de noviembre de 2017, se publicó el Proyecto de la nueva Ley Orgánica de Protección de Datos de Carácter Personal 12/000013 con la finalidad de adaptar el ordenamiento jurídico español Reglamento Europeo de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El nuevo marco regulatorio de protección de datos se alinea y homogeniza con los actuales marcos de cumplimiento normativo y compliance corporativo, incorporando un entorno y medidas de diligencia y control unido al requisito de responsabilidad y compromiso de cumplimiento desde la Alta Dirección y Administradores de las entidades del sector logístico, al introducir por un lado el “Principio de Responsabilidad Proactiva”, que requiere que las empresas del sector puedan garantizar y demostrar que los tratamientos de datos que realizan son conformes a este nuevo marco, y por otro “El enfoque basado en el riesgo” que requiere la adopción de medidas en función del riesgo a la privacidad previamente analizado y de carácter proactivas.

NUEVAS OBLIGACIONES

El 25 de mayo finaliza el plazo la implantación y acreditación de las nuevas medidas de protección de datos que la reforma de la normativa requiere a las empresas. Por su relevancia e implicaciones, detallamos los aspectos críticos a considerar para poder cumplir los nuevos requisitos en plazo al objeto de evitar posibles sanciones y responsabilidades, así como riesgos de incumplimiento de contrato con los clientes que puedan afectar a la actividad de las empresas. Tal y como detalló Nieves García Díaz-Mauriño, directora del área de Protección de Datos de Bonet Consulting, los aspectos críticos a iniciar con urgencia son los siguientes:

• Delegado / Responsable de Protección de Datos: Designar a la persona / equipo que debe cumplir dicha función, acreditar la formación relevante sobre la nueva normativa y los elementos de soporte con expertos en aquellas áreas que se requieran.
• Encargados del Tratamiento: Contemplar los requisitos de acreditación y coordinación con los responsables, notificación formal y realización y formalización del NUEVO contrato de encargado de tratamiento.
• Derechos: Contemplar los nuevos derechos y requisitos a contemplar e informar a los afectados, actualizar y realizar formalmente un plan de información de los mismos. Contemplar los requisitos de coordinación con los encargados de tratamiento.
• Canal Protección de Datos: Implementar un canal de PD para recibir y registrar los incidentes y riesgos de violaciones de seguridad y atención de los derechos. Contemplar los requisitos de coordinación con los encargados de tratamiento.
• Identificar los requisitos de evaluación de riesgo de protección de datos y la coordinación de las medidas necesarias de seguridad y prevención por parte de la entidad y los encargados de tratamiento.
• Acreditar las funciones y responsabilidades de diligencia y control por parte de la Alta Dirección / Administradores.
• Complementariamente los Delegados / Responsables de protección de datos, deberán de definir, implementar y supervisar las medidas que le sean de aplicación a la entidad

IMPACTO EN EL SECTOR LOGÍSTICO

Las empresas del sector logístico pueden actuar como encargados del tratamiento de sus clientes y/o de los grupos de distribución logística con motivo de la prestación de servicios que tienen encomendados. En concreto acceden y tratan por cuenta de sus clientes datos de carácter personal del titular directamente o de los clientes/usuarios finales de sus clientes.

El nuevo marco de protección de datos, supone un cambio muy significativo en cuanto a las implicaciones sobre sus obligaciones y responsabilidades, y en particular los requisitos de acreditación y coordinación con sus clientes, como requisito necesario para poder operar.

La nueva norma requiere a sus cliente que, con carácter previo a la contratación y/o entrada en vigor de la norma ( el próximo 25 de mayo), acrediten y aseguren que sus encargados de tratamiento, entre otras, disponen de las medidas para cumplir la norma y los mecanismos de coordinación con los Delegados formales de protección de datos y los canales de protección de datos para las violaciones de seguridad y atención de derechos.

Durante la mesa redonda, organizada por UNO, Álvaro Rodríguez de la Calle, Inspector de Trabajo y Seguridad Social en excedencia y Director de Operaciones de Praeventis (Fiabilis Consulting Group), expuso las novedades más importantes, y con trascendencia en el ámbito de las relaciones laborales, tanto del Reglamento de la Unión Europea como del proyecto de ley orgánica de protección de datos de carácter personal. En este sentido, destacó el papel que puede desempeñar los Convenios Colectivos de empresa, así como los aspectos referentes a la videovigilancia sobre la actividad de los trabajadores. Álvaro Rodríguez de la Calle resaltó la protección que ya ofrecen las normas del Derecho del Trabajo sobre la intimidad y la dignidad del trabajador, reseñando que las vulneraciones empresariales del derecho de sus empleados a una protección eficaz de su dignidad e intimidad, se consideran como infracciones muy graves, aparejando notables consecuencias económicas para las empresas trasgresoras, sin perjuicio de las responsabilidades y consecuencias que de todo orden supone esa conducta, incluidas las de tipo reputacional para las compañías.

Por su parte, Yolanda Tostado, consultora de Cámara Certifica, insistió en la importancia de la concienciación de las empresas ante el nuevo reglamento: «La clave es que cada compañía estudie donde puede tener debilidades y que adquiera conciencia de los protocolos que debe implantar». En este sentido, insistió en la importancia de realizar análisis de riesgos y una evaluación de impacto de la situación.

SANCIONES POR INCUMPLIMIENTO 

Desde Bonet Consuling recordaron que las empresas de logística que no adopten estos nuevos requisitos y deberes corren el riesgo de ser sancionadas a partir del 25 de mayo de 2018. A modo de ejemplo ilustrativo, pero no limitativo, son consideras como sanciones graves y leves a tenor  de lo establecido en el artículo 73 y 74 de Ley Orgánica de Protección de Datos de Carácter Personal 12/000013, las siguientes acciones:

• La falta de la debida diligencia, de las medidas técnicas y organizativas implementadas.
• Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
• La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles. (Rol de subcontratista en las empresas de logística o transporte).
• El tratamiento de datos de carácter personal sin llevar a cabo una previa valoración de las medidas de responsabilidad proactiva.
• El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
• No documentar las violaciones de seguridad.