Hoy es el último día del primer año GDPR, en una semana en la que el TC ha declarado nulo el apartado 1 del art. 58 bis de la Ley Orgánica del Régimen Electoral General.
Esta norma, que no legitimaba (ni indirectamente) para la creación de perfiles ideológicos para enviar propaganda personalizada -barbaridad contraria a los principios del GDPR que sigue apareciendo en los medios-, se convirtió en polémica porque abría la posibilidad de que los partidos políticos, en el marco de sus actividades electorales y bajo estrictas condicionales pudieran recopilar datos personales relativos a nuestras opiniones políticas.
Desde diciembre de 2019, cuando entró en vigor la norma, bastantes compañeros que presentaron quejas al Defensor del Pueblo, mi equipo y yo mismo hemos luchado contra este y otros artículos que consideramos extralimitados. Aunque el texto legal no permitía tratar los datos para hacer perfiles ideológicos y enviar propaganda personalizada, su redacción confusa abría la vía a que se pensase que esta excepción permitía tratamientos altamente lesivos contra los derechos y libertades fundamentales.
Es una labor de agradecer la del Defensor del Pueblo y la de compañeras y compañeros que apoyaron esta iniciativa y presentaron sus escritos para hacerlo posible.
Finalmente, el TC ha sentenciado ha favor de la cordura declarando nulo el apartado antes citado, que fue introducido por la disposición final tercera de la LOPDGDD.
En este post, respondo a cuatro preguntas sobre si las empresas están cumpliendo la normativa vigente en España sobre protección de datos personales:
- ¿Las empresas están cumpliendo con el reglamento?
- ¿Qué hemos aprendido del primer año de GDPR?
- ¿Qué cree que ha mejorado con GDPR?
- ¿GDPR ha impulsado el negocio de la seguridad tanto como se esperaba?
El diario IT Digital Security ha publicado parte de mis respuestas en su artículo ‘GDPR, un año después‘, engarzándolas con las de estos profesionales: Juan Jesús Merino Torres, National Channel Country Manager en Spain, BitDefender; Ignacio Gilart, CEO, WhiteBearSolutions; José de la Cruz, Director Técnico, Trend Micro; Jesús Rodríguez, CEO, Realsec; Ramsés Gallego, Strategist & Evangelist, Symantec; Enrico Raggini, CEO, Spamina; Antonio Ramos, Socio Fundador LEET Security; y Carlos Vieira, country manager España y Portugal, WatchGuard.
1.- ¿Las empresas están cumpliendo con el reglamento?
El Reglamento es la norma europea de aplicación directa y horizontal que empezó a ser de obligatorio cumplimiento el 25 de mayo de 2018, aunque ya estaba en vigor desde mediados de 2016. Uno de sus principales objetivos es impulsar la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales.
La norma fue redactada partiendo de una visión pragmática; es decir, busca la utilidad práctica de la aplicación de medidas de seguridad sobre el tratamiento de datos personales. Cuando redactaron la norma, los legisladores ya eran consientes de que con un papel es imposible garantizar de forma absoluta los derechos y libertades fundamentales o dotar de una seguridad completa a los datos personales para proteger a sus titulares. Por este motivo, elaboraron un texto para dejar que los obligados a su cumplimiento eligieran con libertad las medidas que considerasen más apropiadas. Por ejemplo, en lugar de indicar si se tiene que aplicar un tipo determinado de candado físico o un sistema de identificación por retina para acceder a documentos en formato físico, la norma tan solo impulsa a aplicar las medidas que el obligado considere suficientes. El problema viene, precisamente, de este matiz: ahora, es necesario hacer el esfuerzo de valorar qué medida es suficiente.
Esta norma afecta a la totalidad del tejido empresarial español, compuesto por casi tres millones de empresas y autónomos, y a las sociedades no registradas, las asociaciones, las comunidades y a un importante número de influyentes y usuarios profesionales de redes sociales, no solo a las grandes empresas de más de 250 empleados, que representan tan solo el 0,2% del total (según el Informe Cifras PYME, de abril de 2019). Y no solo obliga a sujetos españoles, sino a los de cualquier parte del mundo que cumplan alguno de los requisitos indicados en la norma, como, por ejemplo, que reciban datos personales de algún obligado europeo para su tratamiento. El objetivo de la norma es proteger a las personas, con independencia de quien trate sus datos personales y es por ello que el rango de obligados es tan amplio como el derecho hoy permite.
Cumplir el Reglamento exige tres requisitos: concienciación, conocimiento y tiempo. El primero de ellos, la concienciación, se está ganando gracias a la labor de los medios de comunicación, la formación impartida en colegios y la entrega de información a los interesados. El segundo, el conocimiento, requiere una especialización profunda en protección de datos por medio de la práctica, que muy pocos poseen. El tercero es, quizá, el más escaso: el tiempo. Adecuar una actividad empresarial a la normativa de protección de datos exige que una persona altamente concienciada y con conocimiento profundo sobre la materia dedique una cantidad importante de jornadas no solo a la generación de documentación o a la implementación inicial de medidas, sino a la adecuación constante a lo largo del tiempo.
Las empresas que mejor están cumpliendo hoy la normativa forman parte del 0,2% del tejido empresarial español. Estas, las grandes empresas, han podido disponer de personal cualificado, interno o externo, para arrancar el cumplimiento normativo. Las cumplidoras, por lo general, partían de una base ya avanzada con la antigua normativa de protección de datos, lo que no quiere decir que haya sido fácil el cambio, sino que el arranque no se ha tenido que hacer de cero. En cambio, la práctica totalidad del 99,8% restante no sabe, no quiere o económicamente no puede permitirse el cumplimiento.
Para ayudar, tanto la AEPD como el INCIBE han puesto a disposición de las empresas herramientas sencillas para impulsar el cumplimiento del Reglamento. Sin embargo, nuevamente, no basta con conocer la existencia de FACILITA o la Herramienta de Autodiagnóstico, sino que se debe entender su utilidad, estar concienciado con la materia y querer disponer de tiempo para cumplir. Y, quizá lo más importante, quien use estas herramientas tiene que estar en disposición de comprender el alcance de cada una de las recomendaciones que se extraigan de ellas y tener conocimiento suficiente como para elegir, implementar y configurar las medidas de seguridad adecuadas en la empresa, con el objetivo de mantenerlas actualizadas, ampliarlas o sustituirlas por unas mejores ante cambios sustanciales o con el paso del tiempo. Y esto se espera tanto de una gran empresa en la ciudad como del panadero del pueblo. Casi nada.
En relación con si se cumple o no se cumple el Reglamento, lo importante es que podemos decir que sí, que se empieza a cumplir. El Reglamento es una carrera de fondo con varios millones de participantes en la línea de salida y cuya meta es cada zancada. Lo normal y esperable era que los más preparados tomaran la delantera. Lo importante es que la carrera del Reglamento ya ha empezado y todos formamos parte de ella.
2.- ¿Qué hemos aprendido del primer año de GDPR?
El Reglamento llega a una sociedad en pleno proceso de maduración en relación con el conocimiento de los derechos y libertades fundamentales de las personas. Las empresas empiezan a ver la utilidad de ser sinceras con sus clientes, leales en el tratamiento y cuidadosas con no permitir que otros supriman o modifiquen sus bases de datos. La Unión Europea tomó la delantera a la hora de pedir a las empresas que apliquen la sensatez en el uso de los datos personales y que no se excedan en los tratamientos.
Se esperaban grandes multas y, afortunadamente, no han llegado. La finalidad principal del Reglamento no es multar, sino proteger. Las autoridades europeas se siguen esforzando por ofrecer información, herramientas, guías e instrucciones que hagan más fácil ordenar los tratamientos en las empresas. Con la labor empresarial en pro del cumplimiento, al tiempo que mejoran las garantías sobre la protección de datos, protegen los negocios, impulsan la calidad y aumentan la generación de beneficios en el mercado.
Los profesionales que prestan servicios de protección de datos ahora ya cuentan con experiencia real de aplicación del Reglamento. Sin duda, seguirá habiendo pseudo-profesionales que traten de venderse fraudulentamente diciendo que son delegados de protección de datos, cuando lo único que tienen es un certificado para poder serlo; u otros que ofrezcan adecuación cuando tan solo ofrecen documentación inicial y no mantenimiento; juristas sin conocimiento técnico que elijan medidas lógicas para sus clientes; o técnicos sin conocimiento del derecho, ni práctica en protección de datos que se ofrezcan para esta labor. Contra estas prácticas, sí debería haber, que a penas la hay, más actuaciones por parte de la Autoridad.
Ante esta situación, las empresas han aprendido una importante lección: la protección de datos es una materia de extraordinaria complejidad. Ante la creencia extendida de que el Reglamento es la única norma que se ha de cumplir en protección de datos, los profesionales de la materia pueden desplegar una infinidad de normas conexas. Uno de los mayores errores en el sector es creer que la literalidad, a veces imprecisa, de un artículo permite o prohíbe un determinado tratamiento, confusión que se soluciona entendiendo que la protección de datos ha de interpretarse siempre de forma extensiva para la protección de la persona y de forma restrictiva para la capacidad de explotación de datos por parte de las empresas. El conocimiento legislativo y la correcta capacidad interpretativa permiten ofrecer matices que hacen que un tratamiento aparentemente ilegal, según el Reglamento, se pueda realizar abriendo una nueva línea de negocio en el mercado con pleno respeto de los derechos y libertades de las personas físicas.
3.- ¿Qué cree que ha mejorado con GDPR?
Debido al Reglamento, ha aumentado el conocimiento general sobre los derechos que tiene toda persona física. Los artículos de prensa, las charlas en congresos… han mejorado en muy poco tiempo y de forma sustancial la concienciación sobre el problema y han impulsado la toma de decisiones para proteger los datos, tanto por parte de las empresas como de las personas físicas en relación con los tratamientos a los que otros someten sus datos.
Ahora, la protección de datos comienza a verse como una película, no como una foto fija. Las empresas han empezado a destinar recursos (tiempo, personas, dinero…) a elegir medidas de seguridad y, sobre todo, a mantenerlas vivas, funcionando y protegiendo.
El mayor salto adelante se ha dado gracias la responsabilidad proactiva. Ante la dificultad en el cumplimiento del Reglamento, que no es cosa leve, muchas empresas documentan ahora sus mejores esfuerzos por cumplir. Se ha comprobado que el cumplimiento completo no es que sea complejo, es que es imposible. Por tanto, poder demostrar que la empresa aplicando sus mejores esfuerzos es quizá uno de los mayores logros del Reglamento.
4.- ¿GDPR ha impulsado el negocio de la seguridad tanto como se esperaba?
Las medidas de seguridad que se definen como obligatorias en el Reglamento se pueden clasificar en cuatro secciones: físicas, que son las que protegen el dato ante incidentes o intrusiones no electrónicos; lógicas, que se centran en proteger el dato poniendo el foco en la informática; organizativas, que permiten a limitar el acceso a los datos en función de permisos; y formativas, que cubren el eslabón más débil haciendo que las personas conozcan los derechos y sean capaces de ayudar a mantener un correcto cumplimiento.
Las empresas con capacidad económica y una profunda concienciación sí implementan, actualizan y mantienen medidas de seguridad adecuadas. Sin embargo, esto no es la tónica en España. Muchas empresas comprenden el problema y quieren implementar soluciones, pero no disponen de recursos para ello, ni capacidad para lograrlos a corto plazo, por lo que dan prioridad al mantenimiento del negocio; y muchas de las que sí disponen de capacidad económica, o no comprenden el problema o lo desprecian ante la posibilidad de seguir destinando recursos a los medios de producción tradicional.
La expectativa de adquisición o de contratación de medidas de seguridad para la empresa, con protección consecuente de los datos, es similar a la que ha habido hasta ahora: creciente. Sin embargo, el hecho de que exista una norma que obligue a ello no parece que sea el aliciente, como tampoco lo son las posibles multas. En el sector empresarial lo que preocupa es el negocio; y si los ataques, que afectarán a los datos, condicionan la productividad, el objetivo será protegerse con las mejores medidas de seguridad según el estado de la técnica.
En conclusión, sí se espera una mayor protección de datos por medio del impulso de la seguridad en la empresa, pero por el hecho de que forma parte esencial de los activos intangibles del negocio, no porque la cúpula directiva de la empresa o la pequeña PYME desee, por lo general, aumentar la protección de las personas físicas garantizando mejor los derechos y libertades fundamentales. En cualquier caso, ya sea por un motivo económico o por uno más humano, la seguridad sí está despegando de la rampa. Veremos empresas más seguras y, por ende, personas mejor protegidas.
¿Conoces el estado de cumplimiento de tu empresa? En SmartHC contamos con un equipo de protección de datos formado por abogados e informáticos que prestan servicios especializados en esta materia para segurizar empresas y proteger personas. Haz clic aquí para contactar con nuestro equipo o llama al 911735181.