Directora de la Agencia Española de Protección de Datos

Mar España: “Hay consultoras que están engañando a las empresas ante el nuevo reglamento de datos”

“Me gustaría que hasta el último autónomo o pyme conozca la herramienta gratuita Facilita para cumplir la nueva normativa”

“En la agencia hay 15 inspectores, pero sería necesario incrementar los medios humanos con la llegada del GDPR”

Mar España: “Hay consultoras que están engañando a las empresas ante el nuevo reglamento de datos”

La directora general de la Agencia Española de Protección de Datos, Mar España, lleva meses de intensa actividad. El próximo 25 de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) y no para de asistir a diferentes foros para sensibilizar sobre esta normativa que cambia totalmente la forma en que serán protegidos los datos personales.

¿Qué cambios trae el nuevo reglamento?

Supone un cambio radical en la configuración de la protección de este derecho fundamental, pues pasamos de un régimen reactivo, donde las autoridades reguladoras actuábamos en base a denuncias, a otro de responsabilidad activa. Esto implica que antes de ofrecer un producto o servicio, las administraciones públicas y las empresas que hacen uso de datos sensibles deben haber analizado y aplicado todas las medidas técnicas, organizativas y de seguridad para asegurarse de que los datos que traten de clientes, empleados o ciudadanos tienen aplicados la privacidad por defecto y la privacidad desde el diseño.

¿Y para el ciudadano?

Hay un avance tremendo. Es mucho más garantista, pues no solo se aplica a las empresas establecidas en Europa, también a aquellas de fuera siempre que ofrezcan productos y servicios a los ciudadanos en Europa o hagan perfilado de su comportamiento, y eso es un plus de tranquilidad para todos nosotros como consumidores. Además, los ciudadanos van a tener mucho más control de sus datos. Ya no vale tratarlos basándose en el consentimiento tácito, ahora tenemos que dar el consentimiento explícito, y las empresas y administraciones públicas nos tienen que decir de dónde han obtenido nuestros datos, para qué los van a tratar, a quién se los van a ceder, durante cuánto tiempo los van a conservar y cuál es la base jurídica que les da la legitimidad para tratarlos. Por último, se recogen tres derechos nuevos: el derecho a la limitación del tratamiento, el de la portabilidad y el derecho al olvido.

¿Estarán las empresas listas para cumplir la normativa el día 25? ¿Qué ha concluido el estudio que estaban haciendo con Cepyme?

Aún no ha concluido y solo tenemos un avance provisional, pero vemos que más de la mitad de las pymes conoce ya la nueva normativa y el 85% da mucho valor a la protección de los datos personales, lo que me tranquiliza, pues coincide con los datos del INE en cuanto a la preocupación de los ciudadanos. En cualquier caso, lo que estamos haciendo desde la agencia es llevar a cabo diferentes acciones para que las empresas y organismos públicos estén listos.

¿Y cuáles son?

Estamos trabajando intensamente con CEOE y Cepyme, con las cámaras de comercio, con los colegios profesionales, con el Consejo General de Gestores, con la Asociación Española de Banca y la CECA para que nos ayuden a concienciar a las pymes de la importancia de cumplir con la normativa. También estamos celebrando talleres estratégicos con los grandes sectores (turístico, grandes superficies de consumo, publicidad, telecos y finanzas), que tienen un plus de obligaciones por cumplir. En cuanto al grado de cumplimiento, a mí me gustaría que el último autónomo o pyme de este país conociera la herramienta gratuita que hemos puesto a su disposición para ayudarlas. Se llama Facilita y en solo 15-20 minutos les ayuda en el cumplimiento de las nuevas obligaciones. Les va a dar descargadas las cláusulas informativas adaptadas a su negocio. No queremos que para una pyme que trate datos básicos, el nuevo reglamento suponga una carga burocrática. Ya ha habido 140.000 descargas.

Hasta ahora hemos
recibido 1.300 notificaciones
de delegados de datos. La cifra es muy mejorable

¿No ve riesgo de que la aplicación del RGPD pueda resultar un infierno para empresas y ciudadanos, que se van a pasar el día dando a consentir en múltiples casillas?

Yo soy optimista por naturaleza y siempre defiendo que los cambios deben considerarse una oportunidad. También creo que es muy importante que nosotros como consumidores podamos dar el consentimiento para cada finalidad de cada tratamiento. Precisamente, nosotros sancionamos a Facebook porque estaba tratando datos ideológicos sin dar un consentimiento claro de para qué finalidad estaban obteniendo los datos de sus usuarios. Dicho esto, es cierto que las grandes empresas y las pymes que tienen más obligaciones por el tipo de datos que tratan están teniendo que dedicar unos recursos importantes para adaptarse a la normativa, pero muchas empresas me dicen que les ha venido bien porque al hacer sus análisis han visto debilidades y han aprovechado para mejorar internamente todos sus procesos de tratamiento de datos.

Mar España: “Hay consultoras que están engañando a las empresas ante el nuevo reglamento de datos”

Se habla mucho de las empresas, pero qué pasa con las administraciones públicas. ¿Estarán preparadas para el 25 de mayo?

El dato que puedo facilitar tiene que ver con la notificación de los delegados de protección de datos a la agencia. Estamos hablando de que hay unos 20.000 organismos públicos y hemos recibido hasta ahora unas 1.300 notificaciones, de las cuales casi 1.000 son del sector privado. Es cierto que hasta el 25 de mayo no están obligadas, pero son cifras muy mejorables. Me preocupan especialmente los municipios de menos de 20.000 habitantes, y por ello estamos trabajando con la FEMP para que sean las diputaciones provinciales las que ofrezcan los servicios de asesoramiento como están obligadas por la ley de bases de régimen local, y hemos puesto en marcha acciones formativas en todas las comunidades autónomas.

El GDPR obliga a las empresas a comunicar sus brechas de seguridad en 72 horas, pero muchísimas empresas no tienen planes de ciberseguridad. ¿Cómo van a cumplirlo?

Ciertamente, existe esa obligación. El problema es que tenemos un modelo empresarial muy atomizado, donde más del 90% de las pymes son de menos de 10 empleados, y por eso estamos trabajando con Red.es para que en los puntos de activación empresarial se vaya asesorando al empresario en la cultura de protección de datos y de seguridad. Es cierto que queda mucho por hacer, pero a mí me parece muy fuerte pedirle a una tienda que me presente un plan de ciberseguridad, por eso insisto en que Facilita, la herramienta que antes comentaba, ofrece a las pymes consejos muy básicos en materia de seguridad y en materia organizativa para que puedan utilizar los datos con rigor.

Usted ya ha dicho que no va a haber moratoria, que el 25 se pone en marcha el reloj, pero ¿qué mecanismos tienen ustedes para controlar que el reglamento se cumple?

No habrá moratoria porque no puede haberla, no porque nosotros seamos los más radicales de Europa. En cuanto a los mecanismos, tenemos los llamados planes sectoriales de oficio. Actualmente tenemos en marcha tres inspecciones de este tipo, una sobre contratación a distancia, otra a entidades financieras y otra en el ámbito sociosanitario, y llevaremos a cabo otra relacionada con el tema de los visados y el Espacio Schengen. Es decir, vamos identificando sectores y realizando inspecciones. Después está la información cualitativa que nos dan las 10.000 denuncias que tramitamos a lo largo del año, que muchas implican actuaciones presenciales de nuestros inspectores, que solo son 15.

Ya es hora que las comunidades autónomas regulen en el curriculum el uso responsable en internet

¿Esperan que ahora con el cambio normativo se amplíe el número de inspectores?

No es algo que dependa de la AEPD, que se enfrenta a retos crecientes derivados del nuevo escenario que establece el reglamento. Pese al aumento en el número de puestos producido en 2017, es necesario solicitar un incremento sustancial en cuanto a los medios humanos de los que disponemos.

Antes hablaba de delegados de datos. ¿Qué empresa u organismos deben tenerlo?

El reglamento marca tres supuestos. Es obligatorio en todos los organismos públicos y para las entidades que tratan datos a gran escala o tratan datos especialmente sensibles, como las de seguros y banca, telecos, las de servicios de sociedad de la información o las que hacen publicidad a gran escala. Pero somos flexibles y en el caso de los organismos públicos no hace falta que los 20.000 tengan un delegado, pueden compartirse. Igualmente pasa con las pymes que manejen datos sensibles, que en muchos casos no tiene sentido contratar un delegado en exclusiva. Piense en un farmacéutico rural por ejemplo. Por eso, estamos hablando con la Unión Profesional para que ofrezcan voluntariamente ese servicio, de manera piramidal y con economía de escala. En cualquier caso, quiero denunciar para dar seguridad en el mercado que hay algunas consultoras, entre comillas, que ofrecen servicios a coste cero utilizando fondos de formación de la Fundación Tripartita y suponen un engaño al empresario. Es decir, les firman que les han realizado un curso de formación, utilizando fondos de esa formación y a cambio les firman un papel de que han cumplido con la normativa de protección de datos. A parte de que es un desvío de fondos públicos, a ese empresario no le están salvaguardando si luego tiene una denuncia de un cliente o un empleado.

Es importante que el consumidor pueda dar su consentimiento para cada uso que se vaya a hacer de sus datos

¿Hay suficiente profesionales para atender la demanda de delegados de datos?

Nosotros hemos puesto en marcha un esquema de certificado de delegados de protección de datos para garantizar que hay un mínimo de formación y de experiencia, y que además han pasado un examen de 150 preguntas que custodia la agencia y que lo han aprobado. Los primeros exámenes se harán antes de verano.

Incumplir ahora la normativa traerá multas más altas, ¿pero será suficiente para las empresas con mucho músculo financiero? Y otra cuestión: ¿Por qué la gente parece penalizar tan poco a las empresas que se saltan las leyes de protección de datos, porque en el caso de Facebook, por ejemplo, una encuesta en EE UU dice que apenas se ha notado el abandono de la plataforma tras la última crisis? 

Incumplir la normativa también tiene un daño reputacional, que no es un tema menor, y el ejemplo más claro fue la fuerte caída en Bolsa que tuvo Facebook tras el escándalo de Cambridge Analytica. Pero, además, la multa máxima pasa de 600.000 euros a 20 millones o el 4% del volumen de facturación mundial. Y si se cometen varias infracciones, las sumas podrían ser muy importantes. Respecto al segundo tema que comenta, quizás en EE UU por la política de los gobiernos estadounidenses no hay esa cultura de protección a la privacidad que hay en Europa y por eso igual los ciudadanos están menos sensibilizados. Pero lo que sí es importante es que los usuarios seamos los primeros responsables de qué datos damos y a quién permitimos el acceso a ellos, y en esta línea, también creo que ya es momento de que las comunidades autónomas [que tienen transferidas las competencias en educación] regulen en el curriculum el uso responsable en internet, que ahora mismo no está regulado. En cuanto a las empresas, es importante que entiendan que cumplir con la normativa les permitirá ganar en fidelidad y confianza de los clientes, lo que le hará más competitiva.

 

Normas