– nuevo marco normativo –

El pasado 4 de mayo, el Diario Oficial de la Unión Europeo publicó el texto del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

Este texto constituye todo un hito en materia de Protección de Datos, es fruto de un arduo, tortuoso y largo proceso, de más de 3 años, y supone un reinicio en la materia.

No conlleva que todo lo que hayamos hecho en Privacidad y Protección de Datos no nos sirva, ya que el punto de partida no habrá de ser la hoja en blanco, sino lo que ya hayamos desarrollado. Pero sí supone un marco jurídico mucho más moderno que el que se articulaba en torno a la Directiva 95/46/CE, y sobre todo, fija una serie de novedades de gran calado y de significativa relevancia que habrán de ser tenidas muy en cuenta por todas aquellas entidades que manejen datos personales, si quieren estar alineadas con unos requisitos que son, no sólo exigencia normativa, sino también social.

En todo caso, el Reglamento europeo de Protección de Datos es un paradigma del Compliance o Cumplimiento normativo. Y lo es además porque reúne muchos de los elementos comunes que incorporan diversas normas que exigen una gestión basada en metodologías de Compliance. Entre tales normas, encontramos la regulación de la Responsabilidad Penal de las Personas Jurídicas en el Código penal, la normativa sobre Prevención del Blanqueo de Capitales, la más reciente normativa sobre ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras o el Código de buen gobierno de la CNMV.

Entre tales elementos comunes cabe destacar:

·         Proactividad: Cada empresa debe conocer con precisión y de manera dinámica y evolutiva, el marco jurídico (general y sectorial) que les aplica, qué supone específicamente para ella, y cómo se viene aplican por la Administración y/o los Tribunales.

·         Roles: Deben existir figuras y roles internos, entre cuyas funciones estén las necesarias para (i) cumplir con las exigencias de la normativa en tal sentido, y (ii) aún más para articular de manera efectiva el cumplimiento. Tales roles deberán gozar de la autonomía, capacidad y recursos exigidos por cada normativa, siendo que ninguna de ellas excluye su externalización (total o parcial).

·         Transparencia: El Reglamento Europeo de Protección de Datos y prácticamente todas las normativas citadas y encuadrables en el concepto de Compliance, entienden el cumplimiento normativo también como una expresión de la responsabilidad de cada empresa hacia sus grupos de interés y la Sociedad. Y en tal sentido, exigen medidas concretas que hagan tangible y visible el cumplimiento.

·         Certificación; La necesidad de personalizar el Compliance para cada compañía o empresa, de modo que responda realmente a su situación y necesidades, no excluye de modo frontal los modelos estandarizados de cumplimiento, siempre que sean una base, y no una marco rígido. Y mucho de tales modelos (y serán más en el futuro) buscan en último término una certificación del sistema de gestión de cumplimiento. Este fin, sin dejar de ser loable, no debe hacer olvidar que todas las normativas que se articulan en torno al Compliance, no consideran la certificación como un “salvoconducto”, sino como  una muestra (cualificada y de gran valor en ocasiones), del compromiso, esfuerzo y actividad de cumplimiento de quien las obtiene.

En conclusión, los procesos de adecuación al Reglamento Europeo de Protección de Datos deben basarse en un exhaustivo conocimiento del nuevo marco jurídico y de la interpretación del mismo que se vaya incorporando a la práctica.

Pero al mismo tiempo, tales procesos deben basarse en metodologías de análisis de riesgos legales, que sean capaces de profundizar en el conocimiento de cada negocio, sus necesidades e intereses, y a partir de ahí, que sean igualmente capaces de identificar sus riesgos legales, los controles adecuados para su eliminación y mitigación, y los sistemas de acreditación de cumplimiento y reporte que garanticen el éxito del modelo personalizado en caso de conflicto.

Francisco Javier Carbayo