Mar España: “Hay expedientes a grandes empresas que pueden acabar en sanciones muy altas”
“Los procedimientos de quiebras de seguridad han superado el millar en 2019. Algunas veces las medidas de las empresas eran insuficientes”.
Tras más de cuatro años de intensa actividad, Mar España, directora de la Agencia Española de Protección de datos (AEPD) se enfrenta a su última etapa de mandato. En CincoDías hace balance y reconoce estar satisfecha por haber dado los pasos adecuados en la dirección correcta.
- R. ¿Qué balance hace de la aplicación del Reglamento General de Protección de Datos?
- R. El balance que podemos hacer desde la Agencia Española es positivo en cuanto a que se han hecho muchas cosas en muy poco tiempo, y tanto las empresas como las Administraciones Públicas, como los ciudadanos y las autoridades hemos asumido el cambio de enfoque que nos propone el Reglamento, y hemos empezado a aplicarlo. Obviamente, queda mucho por hacer, pero los primeros pasos se han dado y, en mi opinión, en la dirección correcta.
- R. ¿Han entendido bien sus exigencias las empresas?
- R. Es difícil dar un diagnóstico único puesto que nuestro tejido empresarial es muy heterogéneo tanto en tamaños como en grados de madurez. Las grandes empresas españolas, al igual que sus homólogas europeas, cuentan con unos procedimientos de trabajo bien establecidos, y están acostumbradas a evolucionar con los cambios normativos. La mayoría ha nombrado su delegado de protección de datos, han revisado la información que intercambian con sus clientes y usuarios, y el Reglamento les está ayudando a revisar su operativa y eliminar muchos puntos de riesgo. Con las pequeñas y medianas empresas, y con los autónomos, las cosas van más despacio. Pero, por su parte, la Agencia ha habilitado herramientas para facilitar la adaptación al Reglamento que han tenido un enorme éxito, como Facilita, que desde su lanzamiento en septiembre de 2017 ha tenido 800.000 accesos y casi 200.000 empresas han obtenido los documentos mínimos para hacer más sencillo el cumplimiento de la normativa. Además, hay otras herramientas a disposición del sector privado, como Gestiona, y desde la Agencia también se ha puesto en marcha el servicio Informa, que ha atendido más de 5.000 consultas y se han mantenido reuniones con todos los sectores estratégicos de la economía nacional para analizar los problemas y poder dar la solución más adaptada.
- R. ¿Qué infracciones están siendo más comunes?
- R. El número de reclamaciones admitidas más alto corresponde a videovigilancia, seguido de servicios de internet y la publicidad. Estas categorías han dejado atrás a sectores tradicionales como la sanidad, los ficheros de morosos o el correo no deseado. En la mayor parte de los casos, las sanciones provienen del sector de las telecomunicaciones, el spam y videovigilancia. Merecen atención los expedientes derivados de quiebras de seguridad en empresas e instituciones: solo en 2019 han superado el millar. En ocasiones, las medidas de seguridad adoptadas eran insuficientes. También es preciso recordar que el pasado mes de septiembre la AED puso en marcha un Canal Prioritario para comunicar la difusión de contenido sensible en internet y solicitar su retirada que, en algunos casos, está consiguiendo que en intervalos de unas horas o unos pocos días se retiren de redes sociales o de foros imágenes que, por su contenido sexual, mostrar agresiones o situaciones de acoso, estaban poniendo en riesgo gravemente los derechos y libertades de las personas.
- R. En Europa ya se ven multas muy altas. ¿La AEPD está siendo más comprensiva que otras agencias?
- R. La AEPD no está siendo ni más ni menos comprensiva que otras autoridades. Somos conscientes del esfuerzo que supone para muchas entidades la adaptación al Reglamento, pero también tenemos en cuenta que el texto se publicó en el año 2016 y ha habido tiempo suficiente para conocerlo y poner todos los procesos de adaptación en marcha. El RGPD y nuestra Ley Orgánica 3/2018 han permitido ser más flexible con las reclamaciones que obedecen a un error puntual o un fallo de comunicación y que pueden resolverse de una manera dialogada con el delegado de protección de datos sin tener que hacer una investigación. Respecto a las multas, no hay que olvidar que, en caso de llegar, estas son el resultado de procedimiento que cuenta con todas las garantías, y que es diferente en cada país de Europa. Algunos países ya han finalizado varios de estos procedimientos, y otros, como España, tienen procedimientos muy voluminosos en curso y que irán viendo la luz en los próximos meses. En todo caso, no debemos pensar en el Reglamento como un escenario en el que las autoridades solamente imponen grandes multas y entonces las empresas reaccionan: es un ejercicio de responsabilidad activa de empresas, instituciones e individuos desde que se diseñan sus tratamientos de datos y a lo largo de todo su ciclo de vida.
- R. ¿Van a multar de forma contundente próximamente?
- R. Actualmente hay expedientes en curso a grandes empresas que operan en España que podrían concluir en forma de sanciones importantes en los próximos meses. También hay que reseñar que la AEPD es una de las autoridades europeas que está impulsando el desarrollo de operaciones conjuntas, de manera que equipos formados por inspectores de distintos países puedan investigar a una misma entidad y alcanzar resultados. Cuando esa vía prospere será más fácil llegar a los tratamientos de datos que hacen algunas de las grandes empresas de internet y, si se confirmaran irregularidades, las sanciones podrían ser muy altas.
- R. ¿Qué balance hace de su mandato? ¿Deja la Agencia habiendo realizado todo lo que le gustaría?
- R. He tenido la suerte de dirigir la Agencia durante cuatro años y medio muy ilusionantes y de contribuir a dos sucesos de gran trascendencia, como facilitar la aplicación del Reglamento General y ayudar en la tramitación y aprobación con un alto consenso parlamentario de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Pero más allá de estos acontecimientos, que tienen un impacto muy amplio, me siento muy satisfecha de otros logros de la Agencia, como la consecución de un Plan Estratégico muy completo, que ha supuesto la puesta en marcha de más de 75 guías y herramientas elaboradas en su casi totalidad por el personal de la Agencia con un elevado compromiso y profesionalidad; la puesta en marcha del Canal Prioritario para comunicar la difusión de contenido sensible en internet y solicitar su retirada; la enorme trabajo de difusión y concienciación en el ámbito de la privacidad, y la labor que se está realizando hacia los colectivos más vulnerables, como son los menores y las víctimas de la violencia de género. Siempre hay cosas que se quedan sin acabar o se podrían haber hecho de otra manera, pero creo que nuestros ciudadanos, empresas y administraciones cuentan con una Agencia renovada y con un personal preparado y motivado para hacer frente a los desafíos que se presenten en el futuro.