23 / 84
"El Reglamento también se va a aplicar a las empresas
que no están establecidas en la UE, pero desarrollan
dentro de ella actividades de tratamiento relacionadas
con la oferta de bienes o servicios"
protección de datos
entrevista
Europeo de Protección de Datos?
Si el tratamiento se lleva a cabo en
el lugar del establecimiento principal,
sólo hay que hablar con la autori-
dad nacional. Será esa autoridad
la que está obligada a hablar con
sus socios en otros países de la UE
para adoptar una decisión uniforme,
armonizada, frente a un problema
con el tratamiento.
En caso de que se cuestione la
decisión de una autoridad nacio-
nal de protección de datos por
parte de otro país, ¿cómo se diri-
mirá el asunto en esta cuestión?
En el Reglamento hay un mecanismo
según el cual si una autoridad nacio-
nal supervisora toma una decisión
sobre una empresa y otra autoridad
nacional no está de acuerdo, se
reúne al resto de autoridades de
protección de datos para dirimir la
cuestión. Es lo que se llama Consejo
Europeo de Protección de Datos,
que puede decidir de manera unifor-
me cómo solucionar el problema en
cuestión y cada autoridad nacional
tendrá que seguir este dictamen.
¿Qué medidas van a tener que
implementar las empresas para
proteger sus datos?
Esta cuestión está relacionada con
el concepto de rendición de cuentas.
Es el responsable de protección de
datos quien decide cómo debe ase-
gurarse de cumplir el Reglamento.
Este profesional tendrá que efec-
tuar un análisis de riesgos y utilizar
las medidas de seguridad que crea
necesarias; pero la norma no le indi-
ca qué debe hacer de manera espe-
cífica, sino simplemente que garanti-
ce el cumplimiento de sus principios.
¿Qué sucede con aquellas empre-
sas que operen fuera de la UE con
los datos de ciudadanos pertene-
cientes a ella?
El Reglamento tiene un nuevo ámbito
territorial porque se va a aplicar tam-
bién a las empresas que no están
establecidas en la UE, pero desarro-
llan actividades de tratamiento rela-
cionadas con la oferta de bienes o
servicios en la UE. Es decir, las
empresas fuera de la UE necesitan
también aplicar el Reglamento.
los ciudadanos y a las empresas.
¿Cómo tendrán que proceder los
ciudadanos y las empresas para
plantear reclamaciones u otras
gestiones?
Para las personas no va a cambiar
nada porque si un ciudadano tiene
algún problema con la gestión de
sus datos lo puede hacer a través de
su agencia nacional de protección
de datos.
Sin embargo, para las empresas
internacionales el cambio será que
a partir de ahora podrán hablar sólo
con una agencia de protección de
datos, no hará falta que lo hagan
con todas. Hoy, si una empresa tiene
establecimientos en toda la Unión
Europea, necesita hablar con las 28
autoridades nacionales, que basan
sus decisiones en diferentes con-
ceptos. Con el nuevo Reglamento
Europeo de Protección de Datos,
una empresa española con su esta-
blecimiento principal en España, pero
que hace tratamiento de datos per-
sonales en otros países de Europa,
necesitará únicamente hablar con la
Agencia Española de Protección de
Datos, no con la de Irlanda, Alemania
u cualquier otra.
Es una manera de facilitar y simpli-
ficar el tratamiento de datos perso-
nales en toda Europa, porque nece-
sitamos empresas que lleven a cabo
este negocio sin muchas barreras
legales.
No obstante, tras la creación de
esa “ventanilla única”, ¿ante quién
tendrán que responder aque-
llas empresas u organismos que
incumplan el nuevo Reglamento
Thomas Zerdick participó en el
VIII Foro de la Privacidad de ISMS
Forum en febrero, para anunciar la
inminente publicación del Reglamento
Europeo de Protección de Datos.
segundo trimestre 2016 red seguridad 23