Confilegal
Confilegal
Menú
Las empresas denuncian que el RGPD es poco claro; muchas de ellas aún no saben cómo gestionarlo internamente
Lo que más preocupa a las empresas son las brechas de seguridad que puedan existir y las medidas para combatirlas.
Portada / Profesionales

Las empresas denuncian que el RGPD es poco claro; muchas de ellas aún no saben cómo gestionarlo internamente

|
30/9/2018 06:15
|
Actualizado: 29/9/2018 20:15
|

En esta noticia se habla de:

Cuatro meses después de la implantación de la normativa europea de protección de datos, muchas compañías aún no se han adaptado a este marco legal

La asociación ISACA Madrid, como expertos en ciber seguridad y Protección de Datos, ofrece un interesante informe de los aciertos y dificultades de la implantación en nuestro país del Reglamento Europeo de Protección de Datos  (RGPD), al cumplirse los cuatro primeros meses desde que entró en pleno vigor el pasado 25 de mayo de 2018, y comenzó a cambiar la manera de ver la privacidad de nuestro datos  de todos los españoles.

Ya se han cumplido cuatro meses desde la entrada en vigor en todo el territorio de la Unión Europea (UE) del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales en cualquier ámbito público. 

Según los expertos, es necesario involucrar cuantas más personas de una empresa (técnicos, comerciales, quien sea) para que todos sepan a quién preguntar cuando surgen dudas con la normativa.

Desde ISACA Madrid se constata que las  empresas llegaron hasta el 25 de mayo con mucho “nervio”, y como han visto que no pasa nada grave, se han relajado.

Otro elemento crítico que señalan estos expertos es que es imprescindible implantar y bien los procedimientos.  Hay carencias al respecto

También constatan que aquellas empresas que no habían hecho nada hasta el momento han avanzado mucho en su adaptación al RGPD

Medidas y brechas de seguridad, lo más preocupante

Preocupa mucho el tema de las medidas de seguridad, la brecha de seguridad y no solo las grandes que salen en prensa, las de pymes, micropymes, etc.

Se espera una primera gran sanción  que podrá ser clave para que todos querrán cumplir con el Reglamento.

Para ello, hay que documentar los riesgos, minimizarlos y así tener preparadas las defensas ante la AEDP.

Muchos de los errores que se cometen son humanos y se pueden evitar con formación. ISACA Madrid advierte que  la falta de intención no te evita la sanción.

A juicio de estos expertos, una  buena práctica es realizar pruebas reales en las empresas para ver el grado de madurez de la protección y privacidad de los datos entre los empleados.

Desde esta entidad se insiste en que hay que ver la adaptación al RGPD como ventaja competitiva desde punto de vista de la responsabilidad social corporativa. Es un derecho constitucional.

¿Cuál es el estado actual de la implantación del RGPD?

Desde ISACA Madrid se indica que el RGPD  es un documento muy general que permite interpretaciones muy amplias o muy reducidas . También se achaca su falta de claridad respecto al modo de aplicar el reglamento y esto genera una cierta inseguridad.

Junto a ello, a nivel organizativo de las empresas se ha detectado una falta de directrices claras dentro de las empresas respecto  a quién hace qué internamente.

Para estos expertos se constata como se están publicando normativas en los diferentes países de la UE adaptado el Reglamento a la normativa local

En España se ha aprobado el Real Decreto Ley 5/2018 de medidas urgentes  para adaptar el Derecho español a la normativa de la UE en materia de protección de datos. En Bélgica se acaba de aprobar la normativa, y en otros países aún están en periodo de consulta pública.

Las recomendaciones que hace ISACA para aplicar la norma europea y proteger los datos van en esta dirección: 

Quién hace qué

Es importante tener matrices de responsabilidad de quién hace qué; el GRPD es de obligado cumplimiento en todas las áreas de la empresa que manejan datos personales y debe tener responsabilidad con matrices claras.

Procedimientos reales y sencillos

Más vale tener un procedimiento claro y muy sencillo, explicado en corto para que se lo lean hasta el final, para que todos en una empresa o institución sepan lo que se debe hacer. Y facilitar el trabajo de inspección de la AEPD.

Documentar el riesgo y justificar las decisiones

La norma hay que aplicarla en toda la empresa. La aplicación debe ser interdepartamental. Y hay es importante también adscribirse a códigos de conducta como dice el propio RGPD. Hay que  documentar el riesgo y justificar las decisiones.

La AEPD vigila las malas prácticas

En este informe de ISACA se destaca el papel de la Agencia Española de Protección de Datos   (AEDPD) que ha trabajado estos últimos doce meses  elaborando guías relativas al RGPD, como la relacionada con la gestión y notificación de brechas de seguridad, y la aportación de unas pautas de cuándo deben comunicarse estas a los particulares.

También ha editados varias útiles guías sectoriales: sobre protección de datos de fincas, compras en internet, privacidad y seguridad en la red, protección de datos y los ayuntamientos, protección de datos y la prevención de los delitos, fugas de información en despachos de abogados, cuando se trabaja con proyectos big data,

Junto a ellas, guías para acertar con los procedimientos de anonimización de datos personales, para los clientes  y  prestadores de servicios de «colad computing», y para el cuidado que debe ponerse cuando se utilizan aplicaciones y plataformas en la nube por parte de profesores y alumnos en los centros educativos.

Los profesionales de ISACA destacan también la labor de las infografías realizadas por la Agencia, orientadas a educar a los ciudadanos con temas como “cómo evitar la publicidad no deseada”, los “derechos que tienes para proteger tus datos personales” o el “decálogo de protección de datos para el personal sanitario y administrativo”.

Y, por supuesto, la AEPD ha realizado sus labores inspectoras, y tras la aplicación de la normativa europea, los datos recogidos dejan claros cuáles han sido las resoluciones (798), los procedimientos sancionadores (131) y las tutelas de derechos (302).

Rectificación, cancelación y falta de consentimiento, las más comunes

Entre las resoluciones  que destacan por la cifra, están  las relativas al incumplimiento del derecho de rectificación y cancelación(259), las relativas a la falta de Consentimiento inequívoco (161), y empatan  los incumplimientos a la hora de utilizar datos para finalidades no compatiblescon aquellas por las que se recogieron y con el derecho de accesoa los datos recogidos (94 resoluciones).

De aplicación directa del RGPD tan solo se han producido 3 resoluciones; una relacionada con la licitud del tratamiento de datos, y dos por relacionadas con la violación de la seguridad de los datos personales. 

Los servicios internet y los ficheros de morosos, los sectores más incumplidores

Desde el punto de vista de la actividad empresarial, comercial o social de las empresas o colectivos objetos de resolución, las cifras indican que los más incumplidores son los servicios de Internet (145), los ficheros de morosidad(122), las actividades de videovigilancia (117), 65 resoluciones por contratación fraudulentay 60 de incumplimientos procedentes de la administración pública.

Al lado contrario de la tabla se encuentran los profesionales en general, la seguridad privada,  o los colegios profesionales, con una única resolución cada uno, los sindicatos, que han tenido solo 3 al igual que las referidas a la pérdida de datos en papel, es decir, datos aparecidos en la basura.

El RGPD afecta a todas las empresas, grandes y pequeñas

Es en las primeras donde su implantación tiene un coste muy superior, proporcionalmente, sobre las pequeñas.

Toda empresa maneja datos de empleados, clientes, proveedores y tiene que documentar los flujos de los datos, realizar un análisis básico de riesgos y determinar las medidas técnica y/u organizativas que mitiguen dichos riesgos.

La AEPD generó una herramienta para ayudar a determinar el nivel de riesgo, esta no documenta los flujos, ni genera los procedimientos para satisfacer el ejercicio de los derechos de los interesados, informar brechas de seguridad, etc… y todo esto lleva, además de inversiones y costos, tiempo.

En este contexto actual, con una LOPD en tramitación parlamentaria muy avanzada, es bastante recomendable que las empresas que gestionan su privacidad sigan con su trabajo, en muchos de los casos confiando al delegado de Protección de Datos (dPO) esa labor, y aquellas que aún no están al día deben hacer un esfuerzo por incorporarse al entorno nuevo de privacidad para, en primer lugar, evitar sanciones y al mismo tiempo ser competitivas.

 

Noticias Relacionadas:
Clifford Chance asesora a Matrix Renewables en una financiación NAV verde vinculada a objetivos sostenibles por 300 millones de euros
Marlen Estévez (Roca Junyent): «Las Empresas deben establecer y difundir protocolos de uso de IA entre su gente»
Skadden incorpora al ex «general counsel» de SoFi y al co-presidente de fintech de Shearman para liderar su área de regulación financiera
Abogados de Cuatrecasas analizan la reforma concursal tras 18 meses en vigor
La creciente monetización de los laudos arbitrales en la mesa de A&O Shearman, uno de los puntos fuertes del Open Fest
Más de 1.500 abogados apoyan ya la campaña del ICAM por el derecho a la conciliación de los letrados
Lo último en Profesionales