Vicente Sánchez: "Existe cierto relajamiento en la adaptación a la nueva protección de datos"

El rol del delegado de protección de datos (DPO, por sus siglas en inglés) dentro de las organizaciones es una de las cuestiones fundamentales del nuevo régimen de privacidad que introduce el Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica. También es una de las materias que más dudas ha generado. Entre otras cosas, la normativa obliga a organismos públicos y empresas que realicen un tratamiento de datos sensibles o a gran escala a designar un responsable en este ámbito. 

El proceso de adaptación de las organizaciones no concluyó el 25 de mayo, fecha de plena vigencia del RGPD. Queda mucho trabajo por hacer, y así lo pone de manifiesto Vicente Sánchez, CEO de Wolters Kluwer en España y Portugal. "Lo que más preocupa en general es entender el proceso para adaptarse al mismo", explica. Para ayudar a resolver las cuestiones generadas por el nuevo marco normativo, la compañía ha organizado el Primer Congreso Nacional de DPO, que se celebrará el próximo jueves en Madrid. 

R. ¿En qué medida es relevante un encuentro como este para que los profesionales dedicados a la privacidad compartan sus dudas, inquietudes y experiencia?

R. La figura del Delegado de Protección de Datos ha sido una de las grandes innovaciones estrella de la reforma, con una responsabilidad y amplitud funcional que lo configuran como la gran piedra angular para el cumplimiento normativo en materia de protección de datos. Sin embargo, hasta finales de 2017 no se clarificaron los requerimientos necesarios para su formación y certificación y todavía hoy, el DPO y su ámbito necesitan de precisión y desarrollo. Parece lógico por tanto que Wolters Kluwer, uno de los principales actores en el ámbito de las soluciones de cumplimiento normativo en distintos campos, plantee un encuentro entre estos profesionales de la privacidad, para favorecer el intercambio de experiencias, el perfilado de su espectro funcional así como la resolución de las todavía numerosas dudas e inquietudes existentes.

R. La protección de datos ha sido protagonista en el sector legal y empresarial desde la vigencia del RGPD y la nueva Ley Orgánica. ¿Están ya adaptadas las organizaciones en España a la nueva normativa o se requerirá aún mucho trabajo?

R. Como sucede frecuentemente con la legislación de compliance, en este tema se ha pasado de la ignorancia hasta mediados de 2017 a un proceso acelerado de sensibilización, sin ya tiempo material de adaptación hasta mayo de 2018 y de nuevo a una cierta inhibición desde esa fecha hasta ahora. Creo que solo las organizaciones más avanzadas y concienciadas se han adaptado, y en muchos casos parcialmente, a la normativa. Sí preveo que en poco tiempo y especialmente con la llegada de reclamaciones y sanciones, el proceso de adaptación vuelva a ponerse en marcha, de una manera más tranquila, pero también más efectiva y sólida.

R. Wolters Kluwer ayuda a despachos y organizaciones a adaptarse a las nuevas exigencias legales. ¿Cuáles son las grandes dudas que plantean las compañías o qué materia es la que más les preocupa?

R. El nuevo marco ha cambiado totalmente el paradigma en protección de datos y lo que más preocupa en general es entender el proceso para adaptarse al mismo. De una manera más específica y por el impacto en el negocio, creo que una de las cuestiones más candentes es la relacionada con los métodos, procedimientos e implicaciones de la obtención y gestión del consentimiento y la evaluación de impacto de los distintos tratamientos de datos.

R. ¿En qué medida les supone una dificultad pasar a ser ellos quienes deben evaluar sus propios riesgos y adoptar medidas de acuerdo con los mismos?

R. Ciertamente la responsabilidad proactiva frente al sistema anterior, más reactivo, ha sido una de las mayores dificultades a la hora de adaptarse al reglamento. Cuesta todavía entender que sea mandatorio actuar de forma proactiva defendiendo la privacidad de los datos en los diseños de tratamiento o que haya que declarar de forma voluntaria a la agencia cualquier brecha o incumplimiento detectado.

R. ¿Están las Administraciones adaptadas a la nueva normativa?

R. Creo que existe un cierto riesgo de que la normativa de RGPD pase por las Administraciones, pero estas no pasen por la RGPD. Las razones son variadas: Queda muy cuestionada la aplicación real efectiva de las sanciones y por tanto no hay incentivos disuasorios, no hay liderazgo capaz de impulsar lo que es únicamente una obligación más, y las propias posiciones de DPO quedan muy diluidas en cuanto a su responsabilidad y ámbito. Creo firmemente sin embargo, en que la reglamentación futura debería abordar este campo de una manera mucho más efectiva y realista si queremos entidades públicas verdaderamente comprometidas en este ámbito.

R. Se esperan con interés las primeras sanciones de la AEPD. ¿Es el nuevo régimen sancionador la gran palanca de la nueva privacidad o existe un compromiso real de las organizaciones con la protección de datos personales?

R. Evidentemente, la potencial amenaza de sanciones fue una palanca muy poderosa para que muchas organizaciones acometieran el proceso de adaptación a la norma. Sin embargo, tras mayo de 2018 y ante la ausencia de consecuencias existe un cierto relajamiento que ha desincentivado el proceso. Encontramos de este modo empresas concienciadas y comprometidas que entienden el impacto de no cumplir con la norma, otras que aparentan cumplir pero que siguen ancladas en los viejos paradigmas y por supuesto, un amplísimo contingente que diría que incluso no se han enterado de los conceptos básicos de la reforma.

R. Hablar de datos no es solo hablar de derechos fundamentales, también de un relevante factor de negocio. ¿En qué medida es importante que las empresas construyan una buena política interna de privacidad?

R. La política de privacidad deriva de los propios valores de la compañía. Solo aquellas organizaciones que entiendan que existe un factor de responsabilidad social y de rentabilidad en la protección y defensa de los datos personales de todos aquellos que interactúan con ella y de forma muy específica, sus clientes, atravesarán con éxito el nuevo marco normativo. El resto únicamente se adaptará de una forma cosmética a una reforma en la que no creen y a la larga serán de una u otra manera sancionadas por la propia AEPD o por sus clientes.

Pincha aquí para conocer todas las novedades de la nueva LOPD.