La protección de datos post-RGPD
Su implementación en las organizaciones ha sido bastante dispar y con resultados difusos en muchos casos
Hoy 28 de enero se celebra el Día Europeo de la Protección de Datos, una iniciativa que surgió para informar y concienciar a la ciudadanía sobre este derecho fundamental.
La nueva normativa sobre protección de datos personales, cuyo pilar básico es el Reglamento Europeo de Protección de Datos (RGPD), se aplica desde finales de mayo de 2018 y su implementación en las organizaciones ha sido bastante dispar y con resultados difusos en muchos casos; a menudo por falta de sensibilidad por parte de la dirección de las empresas, que no considera el valor de integrar la privacidad como parte estratégica del negocio y, en ocasiones también, por una falta de recursos y mal asesoramiento en el diseño y ejecución del programa de protección de datos, sin que sea infrecuente que concurra una combinación de todos estos factores.
El RGPD ha supuesto un cambio de enfoque en la manera de cumplir con las nuevas obligaciones, ya que se ha pasado de un modelo basado en el cumplimiento formal de una ley (la LOPD de 1999) a un modelo de responsabilidad proactiva, en el que no solo se trata de crear las condiciones que permitan cumplir adecuadamente con la normativa sino de ser capaz de demostrarlo en caso necesario.
Para construir este modelo hay que identificar y analizar los riesgos de los tratamientos de datos personales que se lleven a cabo en la empresa e incluirlos en un registro interno para posteriormente aplicar las medidas técnicas y organizativas adecuadas que eliminen o minimicen estos riesgos a un nivel aceptable. El control periódico de estas medidas, de los resultados obtenidos, así como la formación de los empleados es otro aspecto importante que debe estar presente. Y por encima de todo, para que esta construcción del modelo sea efectiva y duradera, es necesario establecer una buena gobernanza de los datos, con políticas y procedimientos que la apuntale.
La protección de datos como ventaja competitiva
Uno de los principios básicos del RGPD es la privacidad desde el diseño: las empresas han de considerar la privacidad desde el momento en el que diseñan un producto o un servicio que conlleva el tratamiento de datos de carácter personal, para valorar los riesgos que puede suponer para los derechos de las personas y tratarlos adecuadamente mediante medidas o controles que los mitiguen. Otra obligación destacable es la designación, en ciertos casos (tratamientos de datos más sensibles), de un Delegado de Protección de Datos (DPD) para que supervise el cumplimiento de esta normativa y que puede ser interno o externo, siempre y cuando se cumplan determinados requisitos.
Aunque, en términos generales, el grado de cumplimiento del RGPD ha ido en aumento, lo cierto es que todavía queda mucho por hacer para adquirir una madurez en materia de protección y seguridad de datos personales (la ciberseguridad es un capítulo pendiente para la gran mayoría de empresas). Como factor revulsivo, se empieza a percibir que cumplir adecuadamente el RGPD y poder demostrarlo es un aliciente, no solo ante un posible incumplimiento, sino como ventaja competitiva, puesto que otras empresas piden estas garantías a la hora de contratar y lo mismo ocurre con los consumidores, cuya decisión de compra puede estar basada en la reputación o la seriedad con que la empresa trate sus datos personales.
La situación en España
Las sanciones por incumplimiento pueden alcanzar el 4 % de la facturación anual de la empresa o 20 millones de euros, la más alta de las dos. Aunque el número de sanciones por incumplimiento del RGPD en España está por encima de la media europea, no son de las más altas. Si en el Reino Unido, la ICO (homónimo de la AEPD) ha llegado a imponer sanciones millonarias (204 millones de libras a British Airways), en España, por citar dos de los casos más mediáticos, la AEPD (Agencia Española de Protección de Datos) ha sancionado con 250.000 euros a La Liga Profesional de Fútbol (por falta de transparencia en el uso de datos personales a través de una aplicación móvil) y con 60.000 euros a RTVE (por pérdida de varios pendrives que contenían datos personales sin cifrar). Incumplir la normativa no sale a cuenta, ni por la posible sanción ni por el riesgo reputacional en el mercado.
También hay que destacar que la AEPD ha realizado una actividad importante para publicar guías interpretativas y poner a disposición herramientas informáticas para PYMES y autónomos con perfiles de bajo riesgo, con el fin de facilitarles el cumplimiento de sus obligaciones en materia de protección de datos. No hay excusa para no cumplir.
Finalmente, no hay que olvidar que la protección de datos es una tarea de todos, y que los consumidores deben tomar conciencia de la importancia de preservar el control de sus datos en una sociedad cada vez más digitalizada y dependiente de todo tipo de información.
Marc Gallardo, socio de Negocio Digital de RSM Spain.