Un año después, el RGPD sigue siendo la asignatura pendiente para muchas empresas e instituciones

Dos años de moratoria, más de 4000 enmiendas en su tramitación la adaptación al Reglamento General de Protección de Datos (RGPD), tras su entrada en vigor el pasado 25 de mayo del 2018 está siendo compleja.

Se trata de cambiar del enfoque pasado de archivo de registros a otro más proactivo donde conceptos como privacidad por diseño o por defecto son ahora las palabras claves.

Se trata de pensar en privacidad y de demostrar en cualquier momento que tu empresa o entidad está preparado en cualquier momento para gestionar este cambio de enfoque. Los expertos aclaran las dudas a nuestros lectores

Los DPO, muy desorientados

Ofelia  Tejerina es asesora jurídica de la Asociación de internautas “uno de los principales problemas que se detecta es el papel del delegado de protección de datos (DPO). Estos profesionales están todavía muy desorientados y no tienen claro sus responsabilidades».

«Muchas empresas no tienen claro si lo necesitan o no. Al mismo tiempo hay muchas empresas que están vendiendo servicios de privacidad de forma fraudulenta. No es muy lógico que una frutería o panadería tenga un DPO. Eso significa que se han aprovechado de ellos”.

Para esta jurista “pese a que Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales define al DPO en dieciséis actividades, de lo que se trata es saber quién tiene la responsabilidad en cada supuesto de hecho. Y ahí es donde nos encontramos con esas dudas». 

«El empresario no quiere asumirla, tampoco el DPO en muchas casos aunque informa al responsable de tratamiento de lo que hay que hacer. Muchos de ellos confiesan que no les hacen caso y quieren cubrirse las espaldas ante un problema”.

Respecto a la actitud de la Agencia Española de Protección de Datos de no sancionar desde el principio, Tejerina señala que “creo que es congruente, aún nos estamos adaptando a los nuevos conceptos proactivos de privacidad por diseño o por defecto».

«Por lo que sabemos se están centrando en los casos más graves de vulneraciones de privacidad.  De todas formas aún hay empresas que viven en 1992 y no han hecho nada para adaptarse al cambio en privacidad del que hablamos”.

Otra cuestión pendiente tiene que ver con la gestión de las brechas de seguridad.

Tienen 72 horas para notificarlas.

Muchas empresas fichan a expertos para que les localicen las posibles vulnerabilidades de la compañía.

“Las empresas deben acabar establecimiento sus protocolos de notificación a este respecto y tener claro cuando deben notificar las citadas brechas de seguridad”.

Ofelia Tejerina, asesora jurídica de la Asociación de Internautas.

Este asunto aún está pendiente porque supone que las empresas reconozcan que han cometido una infracción.

Al mismo tiempo, los conceptos de privacidad por diseño y por defecto, son cuestiones que las empresas deben adaptar en su estrategia empresarial.  Se trata de evaluar los riesgos.

“Es fundamental que se trabaje de esta forma y que se genera un debate en la empresa».

«Ahora, cualquier diseño de un lanzamiento de un producto o servicio debe contar con el visto bueno del responsable jurídico o de privacidad, quien debe explicar en su firma que todo lo que se haga debe ya contar desde el principio con la privacidad por diseño o defecto”.

En cuanto a la relación de la LOPDGDD nueva con el RGPD, necesaria porque la primera cubre aquellos aspectos que el Reglamento deja difusos, Tejerina señala que “la LOPDGDD ha definido de forma más asequible el Reglamento. No hay grandes cambios ni novedades».

«Tampoco resuelve problemas generados por la citada norma europea y te ayuda a entenderlo mejor. El ejemplo de la edad de los menores, de 13 a 16 se mantiene en 14 en España”.

El problema de la desarmonización

Por su parte, Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), sobre estos temas pendientes de resolver sobre RGPD y la LOPDyDD señala que:

“Se aprecia que una de sus principales debilidades fue permitir la desarmonización, habilitando o imponiendo a los Estados miembros regular localmente en distintos aspectos, como es el caso del control parental, la utilización de datos sensibles (en el ámbito de la investigación científica, de los tratamientos de datos de ideología política por los partidos políticos, etc.), el régimen sancionador del sector público, los tratamientos en el entorno laboral”.

Para Álvarez, “la nueva LOPDGDD ha previsto ciertos aspectos que requieren (i) acciones puntuales posteriores, como en el caso de la encomienda al Gobierno del desarrollo reglamentario de algunas de sus previsiones (e.g., el testamento digital) o la incorporación por las autoridades de control a sus Consejos Consultivos de los representantes de los profesionales de la privacidad».

Junto a ello cree que será necesario actuaciones de cumplimiento continuado como es el deber de las organizaciones (en particular, en el sector público donde es obligatorio per se) «de nombrar y dotar de formación y recursos a sus Delegados de Protección de Datos con las características de experiencia e independencia requeridas en el RGPD”.

Desde su punto de vista, “es esperable también que las organizaciones se doten de herramientas de gobernanza ética (en particular, en la utilización de la inteligencia artificial) y que se vayan desarrollando esquemas de certificación de procesos y códigos de conducta (e.g., en trasferencias internacionales sectoriales, en relación con el derecho a la portabilidad, a los efectos de la utilización de tecnologías como el blockchain o el reconocimiento facial o de voz, etc.)”.

Cecilia Álvarez es presidenta de la Asociación Profesional Española de Privacidad.

Asimismo, recuerda que “debemos estar muy atentos de los casos aún pendientes ante el Tribunal de Justicia de UE sobre el futuro de los mecanismos más utilizados para las transferencias internacionales de datos (en particular, de las denominadas cláusulas contractuales tipo)».

«Así como sobre el funcionamiento del ‘one-stop-shop’ o ventanilla única, que muchas autoridades de control no están respetando”.

Para esta jurista, “tampoco es descartable que la Comisión Europea pueda iniciar expedientes sancionadores contra los Estados miembros que han regulado de forma contraria o en aspectos no habilitados por el RGPD».

«La reciente sentencia del Tribunal Constitucional anulando parcialmente una de sus previsiones más controvertidas sobre el uso de datos por los partidos políticos probablemente reducirá este riesgo en España”.

En opinión de Álvarez, “las organizaciones deben ser más conscientes de que pueden estar cometiendo fraude y, en todo caso, siempre correrán un evidente riesgo regulatorio, si contratan a (supuestos) profesionales con servicios de protección de datos a «coste cero» o irrisorio, o bien que no cuenten con la formación y experiencia adecuadas acreditadas

Para la presidenta de APEP, “los retos  los retos de la normativa de privacidad no se limitan al RGPD y sus normas locales».

«Por ejemplo, la revisión de la actual normativa europea de «ePrivacy», por el momento estancada, es muy preocupante ya que regula aspectos ya cubiertos bajo el RGPD pero con mayores restricciones (como es el caso del marketing digital dirigido a personas físicas o de los metadatos)”.

También cree que “debemos estar muy atentos asimismo y participar en el debate de las dificultades técnicas y operativas que generará la nueva normativa europea de ‘e-evidence’, todavía en discusión, respecto del respeto de la normativa de protección de datos en la producción de prueba en el territorio UE por entidades establecidas fuera de la UE”.

Cuidado con la consultoría a coste cero

Daniel Ramil es experto del RGPD en Procesia, una consultora sobre transformación digital que trabaja a nivel tecnológico y jurídico en la implantación de normas como este RGPD para empresas y pymes.

Cree que “los temas pendientes “todo lo relacionado con las comunicaciones electrónicas (mails, SMS…) no ha sido regulado en el RGPD. Queda pendiente para nuevo reglamento de ‘ePrivacy’ cuando podría haberse regulado dentro del RGPD: publicidad por medios electrónicos, consentimiento en internet (cookies)”.

Al mismo tiempo cree que el RGPD “contiene algunas imprecisiones y expresiones ambiguas que pueden generar cierta inseguridad jurídica”.

Y añade que “al querer fomentar la responsabilidad proactiva y dejar libertad a los responsables de tratamiento para establecer las medidas de seguridad apropiadas a los tratamientos que realizan, es posible que las organizaciones se sientan un poco “perdidas” a la hora de establecer esas medidas”.

Para este experto “la  anterior normativa establecía unos niveles de seguridad bastante claros en función de la relevancia de los datos tratados (salud, ideología y orientación sexual, entre otros)”.

Daniel Ramil es experto del RGPD en Procesia.

Este experto en partidario que las autoridades de control –la Agencia Española de Protección de Datos– realicen más acciones divulgativas y de concienciación. Que la sociedad las sienta “más cerca”, velando por su privacidad e informándoles de sus derechos.

Ramil recuerda que “las empresas para adecuarse correctamente al RGPD, no sólo deben tener en cuenta los aspectos jurídicos, el cumplimiento normativo, sino también la parte técnica, todo lo relacionado con la seguridad de la información”.

Hay que tener expertos fiables y evitar la adecuación al RGPD “a coste cero”, denunciado por AEPD y Fundae y que pueda generar problemas graves a quien lo contrate”.

A nivel de administraciones públicas,  considera que  “uno de los aspectos más controvertidos es el plazo de conservación, o los criterios para su determinación, de los datos personales».

«Son muy pocos los tratamientos que establecen plazos concretos, otros casos con fórmulas muy genéricas y abstractas como la prescripción de responsabilidades, otros por remisión a otras normativas de archivo y documentación, y finalmente casos donde no consta”.

Esta información relativa a los plazos de conservación y que es la base para el ejercicio del derecho de supresión, dificulta enormemente su conocimiento por el ciudadano.

Desde Procesia “se aconseja utilización de fechas y plazos concretos para facilitar el trabajo de los técnicos a la hora de implementar los controles y avisos en los sistemas. Porque si no fuera de esta manera sería muy complicado controlar los plazos de conservación como exige la normativa”.

Noticias Relacionadas:

El «outsourcing» está creciendo, la mitad de las empresas ya externaliza alguna de sus áreas, según Grant Thornton

Cuatrecasas asesora a un grupo inversor francés en la transmisión a MDSR de 22 supermercados en España

Clifford Chance nombra a Miguel Barredo, Adrián Crespo y Eduardo Sánchez nuevos «counsels» en España

Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta

Montero Aramburu asesora a Emergya en su proceso de venta a Ayesa

Gonzalo Núñez Sarompas, nuevo socio de Labormatters Abogados