La nueva normativa sobre datos no te protege tanto como piensas
La cantidad de denuncias unida a la escasez de recursos de la Administración contrasta con la eficacia que se le presupone al reglamento que entra hoy en vigor
Cuántas decepciones nos habremos llevado al ver la ejecución de un proyecto que no sale como todo indicaba que iba a salir. De la teoría a la práctica hay un mundo y lo que parece un plan sin fisuras sobre el papel, airea sus imperfecciones una vez que se pone en marcha. Las expectativas no siempre son buenas compañeras.
Algo así está pasando con las pasiones que levanta el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que entra hoy en vigor, celebrado porque protege más a los usuarios y pone de relieve la responsabilidad que tienen las empresas en el tratamiento que hacen de la información que recogen de estos. Pero, si bien es cierto que las ventajas del GDPR respecto a la actual legislación son considerables —son buena prueba de ello el incremento en el importe de las sanciones por incumplimiento de manera proporcional y la estandarización europea de la consideración de estos delitos—, hay otras cuestiones que el nuevo reglamento no resuelve y que lastran el avance de los derechos de los ciudadanos sobre la gestión de sus datos.
- Denuncia y espera
Para empezar, la nueva directiva europea no contempla ningún procedimiento sancionador. Esto no significa que nos vayamos a quedar en un limbo legal, sino que, cuando el GDPR comience a tener vigencia, se seguirá aplicando el actual. “En España, el denunciante puede abrir un procedimiento administrativo sancionador a través de la Agencia Española de Protección de Datos (AEPD), que es el organismo supervisor que controlará si se ha cumplido el reglamento”, explica Ana Gómez, presidenta de la Asociación Nacional de Laboristas. “Estos procedimientos son muy lentos, pueden tardar hasta dos años en terminar”.
Y no es un límite difícil de alcanzar. El tiempo medio de tramitación de estas sanciones sobrepasa con holgura el año (507 días, concretamente), según informa la propia AEPD. La demora en la resolución en este tipo de conflictos es un síntoma que denota cierta desprotección del usuario y es algo que el nuevo reglamento europeo no cambia. Este problema está relacionado con la escasez de medios para perseguir malas prácticas. En 2016, la agencia recibió más de 10.000 denuncias, de las cuales poco más de 1.000 terminaron en apercibimiento o sanción. “Habrá denuncias que se resuelvan rápidamente, no estén justificadas o no sean suficientemente graves. Otra cuestión es que la AEPD tenga un número delimitado de inspectores que no pueden hacerse cargo del 100% de las denuncias realizadas”, contempla José Rodríguez, delegado de protección de datos de Cornerstone OnDemand, quien afirma sin dudar que podrían beneficiarse de más recursos humanos.
A pesar de esto, José Ángel Sandín, consejero delegado de Lefebvre, sostiene que la falta de efectivos de la AEPD no va a impedir que las sanciones lleguen, como no impidió que llegaran hace unos años con la entrada en vigor de la Ley Orgánica de Protección de Datos (LOPD). “Es posible que el organismo no tenga capacidad para asimilar todos los expedientes que surjan, pero no cabe duda de que van a fijar su propio criterio para actuar”. Sandín tiene su apuesta particular al respecto. “De momento no podemos intuirlo, pero todo apunta a que los sectores socio-sanitarios, financiero y de reclutamiento y selección están entre los más críticos”, defiende.
- Pero, ¿cuántos trabajadores tiene la AEPD?
Hablamos de 80 hombres y 70 mujeres, según los datos más recientes, que no solo se dedican a poner multas. “Las autoridades de protección de datos también realizan una importante actividad de información y prevención”, recuerda Rodríguez. “El objetivo es disuadir a las empresas de cometer un delito y evitar que se produzca un daño o abuso al usuario”.
Los sectores socio-sanitario, financiero y de reclutamiento y selección están entre los más críticos.
José Ángel Sandín, consejero delegado de Lefebvre.
La disuasión es el quid de la cuestión. La persecución de este tipo de delitos es más necesaria si no existe una voluntad empresarial de hacer un tratamiento adecuado de la información de sus usuarios. El incremento en el importe de las sanciones que trae el nuevo reglamento —de los 600.000 euros que limita la LOPD a los 20 millones en los que se establece el techo en sanciones con el GDPR, ampliable de manera proporcional con grandes multinacionales— puede ser un motivo para que muchas compañías se tomen más en serio este punto.
Rodríguez advierte de que existe una motivación mayor para las empresas: la oportunidad de conservar la confianza de su marca. “La multa va a ser proporcional a lo que hayan hecho, pero en términos de imagen, da igual cuánto tengan que pagar”, defiende. “Si los medios publican que tu compañía ha sido sancionada, pierdes reputación y, con ella, clientes”.
