El destape de España en protección de datos
El caso LexNET dejó al descubierto los problemas de empresas y Administración para cumplir la legislación de protección de datos. En mayo próximo comienza a aplicarse el nuevo Reglamento. Los deberes no están hechos
El 27 de julio pasado saltaron las alarmas: un importante fallo de seguridad dejaba al descubierto los documentos alojados en LexNET: la plataforma de intercambio de información del Ministerio de Justicia, utilizada por más de 3.500 órganos judiciales. Hasta el momento de la resolución del problema, miles de archivos con información sensible sobre demandas y pleitos habían permanecido al descubierto. Ahora que se acerca la fecha de aplicación del nuevo Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la pregunta se antoja retórica: ¿estamos preparados?
¿Qué implica para los ciudadanos el RGPD?
La Agencia también cita nuevas herramientas de control de sus datos para los ciudadanos, como el derecho al olvido o el derecho a la portabilidad. Explica que el primero es consecuencia del derecho a exigir que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. “El interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos”.
Sobre el derecho a la portabilidad, se refiere la posibilidad de que el interesado recupere sus datos -de la empresa u organización que en ese momento esté al cargo de su trato y almacenamiento- en un formato que le permita su traslado a un nuevo responsable. “Cuando ello sea técnicamente posible, el responsable [actual] deberá transferir los datos directamente al nuevo responsable designado por el interesado”, señala la AGPD.
La respuesta por parte de los expertos es rotunda: no, no lo estamos. No lo están, concretamente, las empresas. En ello coinciden, con matices, tres expertos consultados: José Luis Zimmermann, director de la Asociación Española de Economía Digital (Adigital); Borja Adsuara, exdirector de Red.es y abogado experto en derecho digital y José Alberto Rodríguez, director global de Protección de Datos de la empresa de software en nube Cornerstone OnDemand.
“Existe mucho desconocimiento y muchas dudas (fundadas) con respecto a ciertos aspectos de su aplicación”, asegura Zimmermann. “No es un reglamento fácil de aplicar y además estamos aún pendientes de la ley que debe aprobarse para su puesta en marcha, que en teoría debería ofrecer una mayor seguridad jurídica”, añade. Como ejemplo pone la confusión en torno al consentimiento, un concepto a su juicio esencial.
El problema, según Rodríguez, parte de una mala base: “Si las empresas no están preparadas para el nuevo RGPD seguramente es porque tampoco lo están para cumplir las legislaciones actuales”, apunta. Cita sonados casos de fugas o acceso ilegal a información como el robo de datos de 1.000 millones de cuentas de Yahoo, la filtración de una base de datos de LinkedIn con 167 millones de presuntas credenciales o la pérdida de 1.370 millones de registros de la empresa River City Media.
“Estos son casos muy delicados en los que hay que tener en cuenta no sólo la cantidad de registros que se perdieron, sino la sensibilidad de los datos almacenados. Muchas de estas fugas de contenían información sensible como cuentas bancarias, direcciones y números de teléfonos de los usuarios”, señala el experto en Protección de Datos. Sostiene, no obstante, que aunque el panorama sea “preocupante”, Europa “es líder mundial en protección de datos personales, en particular gracias al nuevo reglamento”.
En el caso de España, cree que el punto de partida también es positivo “porque existe tanto la concienciación como la legislación necesaria”. Lamenta, eso sí, “que sean pocas las compañías que realmente han iniciado ya las acciones necesarias para estar preparadas frente al nuevo RGPD”. Y no solo llegan tarde las empresas, sino también -afirma Adsuara- las Administraciones Públicas y la propia Agencia Española de Protección de Datos (AGPD). “La UE dio un plazo de dos años desde la entrada en vigor del RGPD (el 25 de mayo de 2016) hasta la aplicación directa del régimen sancionador para que se adaptase todo el mundo. Quedan 10 meses y, como los malos estudiantes, casi nadie ha hecho los deberes”, asegura.
Si las empresas no están preparadas para el nuevo RGPD seguramente es porque tampoco lo están para cumplir las legislaciones actuales” José Alberto Rodríguez, director global de Protección de Datos Cornerstone OnDemand
Cambios necesarios
¿A qué deberes se refiere Adsuara? ¿En qué difiere este reglamento de lo establecido hasta ahora por la ley? Los expertos señalan que el RGPD supone un cambio de enfoque. “La normativa actual señala detalladamente cuales son las obligaciones y las medidas que deben adoptar las empresas. En el nuevo reglamento, sin embargo, son las empresas las que proactivamente deben demostrar que cumplen el reglamento, estableciendo las medidas que crean oportunas en función del nivel de riesgo que el tratamiento de datos pueda significar para las personas”, explica Zimmermann.
El director de Adigital sugiere, para empezar a adaptarse, hacer una revisión profunda de los tratamientos realizados en la empresa, “empezando por identificar y documentar todos los procesos: de dónde se obtienen datos, qué se hace y quién puede acceder a ellos, tecnologías empleada, etc.”. A continuación -prosigue- habría que examinar qué aspectos del reglamento no cumplen actualmente y amoldar los procesos. Señala que uno de los principales cambios pasa por la necesidad de adaptar las cláusulas informativas y documentar el cumplimiento normativo. “Según los casos, habrá que llevar un registro de la actividad de tratamiento, nombrar un delegado de protección de datos, modificar los contratos con los proveedores que requieran tratamiento de datos, realizar evaluaciones de impacto o adaptar los procedimientos de atención de derechos de las personas”, comenta.
Rodríguez ahonda en la figura del delegado de protección de datos, “un rol que en muchas organizaciones no existe y que será clave para cumplir de forma segura el nuevo reglamento”. Explica que esta persona será la responsable de velar por el cumplimiento de la RGPD, informará sobre las obligaciones de la empresa, determinará cuándo y cómo debe realizarse una evaluación del impacto de la privacidad, será el contacto ante las autoridades nacionales de protección de datos, etc.
La respuesta por parte de los expertos es rotunda: no, no estamos preparados en materia de protección de datos
El directivo de Cornerstone OnDemand destaca la importancia de que cada organización defina qué datos necesita realmente y para que los utiliza. Y, una vez hecho, elaborar procedimientos que ayuden a evitar las sanciones y tener un plan de contingencia en caso de una situación especial como puede ser una fuga de datos. “La ley establece un flujo operativo claro: tratamiento lícito, leal y transparente; datos adecuados, pertinentes, limitados, exactos y actualizados; conservación limitada en el tiempo y almacenamiento seguro”, puntualiza.
Adsuara comenta que, si bien algunas especificidades no estarán claras hasta el mismo 25 de mayo, conviene ir poniendo en marcha tareas a su juicio prioritarias. Por ejemplo, recabar de los titulares de los datos su consentimiento informado, expreso y específico (para cada finalidad) para toda la información personal que la organización vaya a tratar.
Multas y puntos delicados
¿Y qué pasa si no se cumple el RGPD? Las organizaciones infractoras se enfrentan a multas que podrían alcanzar los 20 millones de euros o bien de hasta un 4% de su cifra de facturación anual. “Se aplicaría la cifra más elevada entre estas dos cantidades, que podría suponer incluso el cierre”, afirma Rodríguez. Sin llegar a esos extremos, los expertos indican otro daño inevitable ante cualquier mínima multa o problema de fuga de datos: el perjuicio en términos de reputación frente a sus empleados y clientes actuales y futuros. No hay más que mirar al caso LexNET y a tantos otros.
También conflictivo es dónde establecer el límite entre la información profesional y personal de un empleado, que determinará a qué datos de empleados, clientes y otros con quienes se relacione puede acceder una empresa o una organización. “Es uno de los puntos más delicados. El RGPD establece el principio de minimizar la recogida de datos, que deberá estar justificada. Pero, ¿es esa justificación siempre objetiva? ¿Si mi trabajo requiere una atención especial (por ejemplo, si soy conductor o piloto), podría una empresa exigir que lleve siempre una pulsera de control de actividad que notifique sobre mis horas de sueño?”, plantea Rodríguez.
“Una empresa puede tratar la práctica totalidad de los datos personales de una persona, siempre y cuando lo realice correctamente y disponga de una causa de legitimación. Por ejemplo: el consentimiento del interesado, la ejecución o preparación de un contrato, el cumplimiento de una obligación legal, la protección de los intereses vitales de una persona, o el interés legítimo”, añade Zimmermann. Adsuara especifica que, si bien os datos personales son todos los que se refieren a una persona física (identificada o identificable), todas las personas tienen una esfera pública (profesional) y una esfera privada. “Ahí se establece el límite”, afirma.
Rodríguez concluye con una insistencia: “El reglamento no impone, de manera general, nuevas restricciones al tipo de datos que se podrían acceder. Lo que hace es reforzar el hecho de que sólo se utilicen los datos realmente necesarios, de manera clara y transparente, y durante un tiempo limitado. Y eso ya está a menudo definido en las leyes laborales, los convenios colectivos o la jurisprudencia”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.