El 78,26% de los dPO revisaron su modelo de privacidad ante las multas millonarias de Protección de Datos a entidades financieras

Este dato pertenece a un estudio que presentó Carlos A. Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute (DPI) y Partner and Head of Governnace, Risk & Compliance en Ecix Group, sobre el grado de madurez de implantación del Reglamento General de Protección de Datos en las organizaciones (RGPD).

En él han participado delegados de Protección de Datos (dPO) de empresas públicas y privadas. Un 78,26% de los encuestados ha revisado su modelo de privacidad ante las multas de la Agencia Española de Protección de Datos (AEPD).

Otro dato aportado por esta encuesta es la que la dirección de las compañías en un 43,48% ven con preocupación estas multas de la AEPD y un 39,13% con mucha preocupación. Solo un 8,70% confiesa no haber pasado esta información a la dirección de su compañía.

Este estudio se ha presentado en el XIII Foro de la Privacidad organizado desde el ‘Data Privacy Institute’ (DPI) del ISMS Forum -International Information Security Community- en modalidad online.

En el debate moderado por Saiz participaron Óscar López, dPO y responsable de Gestión de Riesgo Tecnológico, Grupo DKV Seguros; Cristina Giménez, asesora jurídica de Consum; Fátima Cereijo, gerente de Control de Fraude y Privacidad de Abanca.

Junto a ellos Pablo Díaz, dPO de CaixaBank; Patricia Chenlo, Project Manager de la Oficina de Protección de Datos, Repsol; y Gonzalo Salas, Senior Manager IT Legal Advisory, SIA.

En este encuentro profesional se abordaron temas como los modelos de gobierno de la privacidad, la gestión de ‘data breach’ según las últimas ‘Guidelines’ del EDPB, los riesgos de seguridad y privacidad asociados a terceros, las transferencias internacionales de datos y las herramientas que permiten garantizar un mayor nivel de cumplimiento.

Una de las sesiones se centró en ‘Policy and Governance’, donde estuvieron representadas las principales instituciones nacionales e internacionales en materia de protección de datos, como el Departamento de Justicia de Estados Unidos, el ‘European Data Protection Board’ (EDPB) o la Agencia Española de Protección de Datos (AEPD).

Los dPO opinan

Sobre el análisis de madurez del RGPD dicho estudio refleja que un 43,48% de los encuestados le preocupa bastante la sentencia Scherms II que anula la situación existente de transferencia internacional de datos. Un 8,70% dice que la preocupación es elevada y otro 43,48% que es poca.

Como aspectos a mejorar en materia de privacidad durante este 2021, los dPO encuestados señalan que hay varias prioridades este año. Un 78,26% insiste en que hará acciones de concienciación y formación de directivos en materia de privacidad; un 69,78% confiesa que revisará el modelo de privacidad existente mientras que un 39,13% señala que pondrá en marcha una auditoria del sistema.

Los dPO van a realizar acciones formativas propias para su equipo en un 34,78%; y otros pondrán en marcha el sistema de third party de compliance en materia de privacidad en un 26,09%. Otro 21,74% pondrá en marcha acciones para armonizar el sistema de cumplimiento de privacidad con el sistema global de ‘Compliance’.

Otras acciones que los dPO pondrán en marcha tienen que ver con cambios en la estructura de gobierno de privacidad y función del dPO en un 17,39%. Otro 13,04% habla de aportar más eficiencia y automatizar el sistema de cumplimiento de privacidad en época post Covid.

En la actualidad cuando reportan un incidente a la dirección de la compañía un 48% lo hace por temor a que su empresa reciba sanciones de la autoridad; otro 44% le preocupa el daño reputacional de la empresa y un 40% lo hace porque se ha producido un robo o brecha de seguridad en el sistema. Un 28% confiesa que ese reporte se hace porque en ese momento el sistema de control no funciona.

En cuanto a los problemas que tienen los dPO para realizar su labor, en este informe se indica que un 32% habla de resistencias internas para implementar dicho modelo de privacidad y otro 24% cree que le falta presupuesto para realizar su trabajo.

También en dicho informe hay un 12% dice que le faltan herramientas para realizar su labor y solo un 4% considera que falta el apoyo de la dirección. Parece, por tanto que el compromiso en las empresas crece en materia de privacidad.

Autoridades de privacidad, siempre alertas

En cuanto a las autoridades de control que intervinieron en primer lugar Bruno Gencarelli, Deputy to the Director & Head of Unit for International Data Flows and Protection – DG Justice and Consumers (Comisión Europea); y Ventsislav Karadjov, presidente de la Comisión Búlgara de Protección de Datos.

Gencarelli abordó la problemática con el flujo transatlántico de datos. Ante el terremoto causado por la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el asunto C-311/18 (sentencia Schrems II), que declara contraria a Derecho la Decisión 2016/1250 de la Comisión europea (Escudo de Privacidad) y considerar válida, en términos generales, la Decisión 2010/87 de la Comisión europea (CCT o Cláusulas Contractuales Tipo).

“Entiendo que hay muchas preguntas, temas y preocupaciones alrededor de la sentencia Schrems II, pero existe una dimensión optimista y prometedora, son muchos los países que cuentan con sus propios sistemas de privacidad, y no se trata de llegar a ser idénticos, sino de tomarnos el tiempo suficiente para implantar características y salvaguardias comunes, respetando los sistemas de gobernanza”.

Este experto recordó que “en España, la Agencia Española de Protección de Datos está realizando una gran labor al alinearse en este horizonte común, trabajando con cada región y creando herramientas de ayuda. Todavía queda mucho trabajo por hacer, pero debemos tener en cuenta que hoy día la Comisión Europea cuenta con oportunidades que hace unos años no existían y que debemos explotar”, declaró.

El papel de la AEPD en los Fondos Europeos

La intervención de Mar España, directora de la Agencia Española de Protección de Datos, fue una de las más esperadas de la jornada, puesto que presentó el nuevo Pacto Digital para la Protección de las Personas promovido por la AEPD, y al que ISMS Forum se ha adherido recientemente.

Este pacto promueve un gran acuerdo por la convivencia ciudadana en el ámbito digital, compatibilizando la protección de datos con la innovación, la ética y la competitividad empresarial.

«El Pacto Digital para la Protección de las Personas es una iniciativa orientada a reforzar el derecho a la protección de datos a la vez que se promueve la innovación y la sostenibilidad”.

También recordó que “el desarrollo del proyecto ha contado con la colaboración de algunas de las principales organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales adheridos, entre ellos ISMS Forum, al que agradecemos su apoyo (…) desde este momento, y como es habitual en la Agencia, podéis enviarnos cualquier sugerencia para abordar colaboraciones público-privadas que nos ayuden a reforzarlo«, explicó durante su ponencia.

Otra cuestión que planteó Mar España es que desde la propia AEPD se pudieran tutelar los proyectos de fondos Europeos ‘Next Generation’ que tuvieran que ver con la digitalización de las compañías de cara a incorporar los elementos de privacidad desde el diseño de esas iniciativas. 

 La Privacidad: comparativa EEUU–EU

Otra intervención esperada en este XIII Foro de la Privacidad de ISMS Forum y el DPI fue la de Peter Winn, jefe en funciones de la Oficina de Privacidad y Libertades Civiles del Departamento de Justicia de los Estados Unidos, hablando sobre la gobernanza de la privacidad desde el diseño.

“El Departamento de Justicia de los Estados Unidos cree que la gobernanza desde la privacidad se basa en tres fundamentos: el ‘Compliance’, la ley y la confianza. Las autoridades de protección de datos siempre deben tomar decisiones difíciles sobre hacia dónde dirigir sus recursos limitados».

«Estados Unidos ha aprendido mucho del Reglamento General de Protección de Datos y guarda un gran respeto por el trabajo que se ha hecho para aplicarlo. Desde mayo de 2018, cuando entró en vigor el Reglamento General de Protección de Datos, la Comisión Federal de Comercio ha recaudado casi 6.000 millones de dólares en multas por violación de la privacidad de las principales organizaciones pertenecientes al sector tecnológico”, declaró Winn al inicio de su ponencia.

“Tanto en EEUU como en la UE deberíamos iniciar un proceso de evaluación y revisión de la ley para abordar sus debilidades, debemos ser proactivos para aprender de los demás y mejorar las estructuras de cumplimiento legal existentes”, resaltó.

“Todas las leyes tienen puntos débiles que pueden ser mejorados, lo importante es incorporar un proceso de mejora continua en el diseño de la gobernanza, recordando siempre que no se trata de la privacidad “teórica”, sino de la privacidad práctica, sobre el terreno”, concluyó.

Noticias Relacionadas:

Los abogados especializados en privacidad impulsan el revitalizado mercado laboral

Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente

La AEPD multa con 200.000 euros al Burgos CF por irregularidades al pedir la huella dactilar a sus socios

La AEPD castiga con 5.000 euros a un ciudadano por publicar en YouTube una grabación de un juicio 

Protección de Datos impone una multa de 365.000 euros a CTC por pedir la huella dactilar a sus trabajadores

Multa de 60.000 euros a Hispapost por dejar miles de cartas con datos personales en solares