Si se confirma, esta es una opción que se destaca como impactante e injustificada, pero tampoco es un buen ejemplo para las organizaciones privadas. “Si consideramos el esfuerzo que requieren las organizaciones para prepararse para el GDPR, el hecho de que las organizaciones públicas no sigan las sanciones en la misma medida parece inmoral. Parece que se establecen diferentes medidas ”, concluye Filipa Calvão, y agrega que la igualdad justifica que se apliquen las mismas medidas a todas las entidades, y que si hay una diferencia sería con una mayor responsabilidad de las organizaciones públicas, sobre todo porque esta es la lógica que es detrás de la definición de derechos civiles.
¿Exento o no?
Filipa Calvão admite que algunos países que optaron por la exención de multas en las organizaciones públicas tienen esta tradición, como Alemania y España, pero que en Portugal este no es el caso.
Y en el régimen anterior, ¿hubo sanciones contra las entidades públicas? El presidente de la CNPD no recuerda ningún caso, pero admite que existieron, incluso en algunos grupos escolares, pero que las sanciones fueron mínimas. El marco sancionador se redujo y en estos casos también se tiene cuidado de fijar las multas en la cantidad mínima, solo para evitar que la situación se repita.
Filipa Calvão explicó a SAPO TEK que CNPD no se escuchó en esta etapa en la que la consulta sobre la legislación habrá estado abierta a varias organizaciones y entidades de la sociedad civil, y afirma que el grupo de trabajo se reunió solo una vez, y que también tuvo una reunión con la ministra de la Presidencia, Maria Manuel Leitão Marques, quien supervisa este proceso. Pero no tuvo acceso a la propuesta que circulará y que ha sido comentada, lo que considera extraño ya que la ley obliga al Gobierno a consultar a la CNPD sobre la protección de datos.
“Es al menos extraño. Parece que no hay interés en escucharnos ”, explica, desmitificando también que la CNPD está de alguna manera involucrada en retrasar la publicación de la ley. “CNPD no tiene nada que ver con este retraso”, justifica.
Aunque todavía faltan algunas definiciones en relación con el GDPR, Filipa Calvão argumenta que las empresas no deben esperar para comenzar a preparar sus estructuras, crear la figura del DPO, realizar estudios de impacto en el procesamiento de datos y preparar sistemas de notificación. Incluso porque sin el diploma portugués, la obligación legal existe, ya que el Reglamento ha estado oficialmente en vigor durante dos años.
El presidente de la CNPD aconseja a las empresas que aceleren su preparación para el GDPR y recuerda que la Comisión está dispuesta a trabajar con empresas y organizaciones para encontrar soluciones tecnológicas que salvaguarden los derechos de los ciudadanos. “La gente solo ve el lado de las sanciones, no ve el trabajo que hacemos con recomendaciones y sugerencias”, admite.
Sobre la posibilidad de comenzar a aplicar sanciones a partir del 25 de mayo, Filipa Calvão advierte que las organizaciones no deberían pensar que están “protegidas” por el retraso en la ley o la falta de recursos de la CNPD, pero admite que en la inspección de casos que llegan a En consecuencia, se tomará en cuenta el esfuerzo que se está haciendo para cumplir con el GDPR, incluso si todo no está 100% completo.
La propia Comisión Nacional de Protección de Datos aún espera la publicación de la ley sobre la organización y el funcionamiento de la CNPD, que debe ser revisada y fortalecida en términos de recursos humanos. La propuesta ya se envió a mediados del año pasado, pero aún no se ha aprobado y Filipa Calvão dice que está desesperado por trabajar para preparar el GDPR sin estos recursos, sobre todo porque en los próximos meses el nuevo marco legal para la investigación policial y privacidad en las comunicaciones que se transponen.