El destape de Espa?a en protecci¨®n de datos

El 27 de julio pasado saltaron las alarmas: un importante fallo de seguridad dejaba al descubierto los documentos alojados en LexNET: la plataforma de intercambio de informaci¨®n del Ministerio de Justicia, utilizada por m¨¢s de 3.500 ¨®rganos judiciales. Hasta el momento de la resoluci¨®n del problema, miles de archivos con informaci¨®n sensible sobre demandas y pleitos hab¨ªan permanecido al descubierto. Ahora que se acerca la fecha de aplicaci¨®n del nuevo Reglamento General de Protecci¨®n de Datos (RGPD) el 25 de mayo de 2018, la pregunta se antoja ret¨®rica: ?estamos preparados?

La respuesta por parte de los expertos es rotunda: no, no lo estamos. No lo est¨¢n, concretamente, las empresas. En ello coinciden, con matices, tres expertos consultados: Jos¨¦ Luis Zimmermann, director de la Asociaci¨®n Espa?ola de Econom¨ªa Digital (Adigital); Borja Adsuara, exdirector de Red.es y abogado experto en derecho digital y Jos¨¦ Alberto Rodr¨ªguez, director global de Protecci¨®n de Datos de la empresa de software en nube Cornerstone OnDemand.

¡°Existe mucho desconocimiento y muchas dudas (fundadas) con respecto a ciertos aspectos de su aplicaci¨®n¡±, asegura Zimmermann. ¡°No es un reglamento f¨¢cil de aplicar y adem¨¢s estamos a¨²n pendientes de la ley que debe aprobarse para su puesta en marcha, que en teor¨ªa deber¨ªa ofrecer una mayor seguridad jur¨ªdica¡±, a?ade. Como ejemplo pone la confusi¨®n en torno al consentimiento, un concepto a su juicio esencial.

El problema, seg¨²n Rodr¨ªguez, parte de una mala base: ¡°Si las empresas no est¨¢n preparadas para el nuevo RGPD seguramente es porque tampoco lo est¨¢n para cumplir las legislaciones actuales¡±, apunta. Cita sonados casos de fugas o acceso ilegal a informaci¨®n como el robo de datos de 1.000 millones de cuentas de Yahoo, la filtraci¨®n de una base de datos de LinkedIn con 167 millones de presuntas credenciales o la p¨¦rdida de 1.370 millones de registros de la empresa River City Media.

¡°Estos son casos muy delicados en los que hay que tener en cuenta no s¨®lo la cantidad de registros que se perdieron, sino la sensibilidad de los datos almacenados. Muchas de estas fugas de conten¨ªan informaci¨®n sensible como cuentas bancarias, direcciones y n¨²meros de tel¨¦fonos de los usuarios¡±, se?ala el experto en Protecci¨®n de Datos. Sostiene, no obstante, que aunque el panorama sea ¡°preocupante¡±, Europa ¡°es l¨ªder mundial en protecci¨®n de datos personales, en particular gracias al nuevo reglamento¡±.

En el caso de Espa?a, cree que el punto de partida tambi¨¦n es positivo ¡°porque existe tanto la concienciaci¨®n como la legislaci¨®n necesaria¡±. Lamenta, eso s¨ª, ¡°que sean pocas las compa?¨ªas que realmente han iniciado ya las acciones necesarias para estar preparadas frente al nuevo RGPD¡±. Y no solo llegan tarde las empresas, sino tambi¨¦n -afirma Adsuara- las Administraciones P¨²blicas y la propia Agencia Espa?ola de Protecci¨®n de Datos (AGPD). ¡°La UE dio un plazo de dos a?os desde la entrada en vigor del RGPD (el 25 de mayo de 2016) hasta la aplicaci¨®n directa del r¨¦gimen sancionador para que se adaptase todo el mundo. Quedan 10 meses y, como los malos estudiantes, casi nadie ha hecho los deberes¡±, asegura.

Si las empresas no est¨¢n preparadas para el nuevo RGPD seguramente es porque tampoco lo est¨¢n para cumplir las legislaciones actuales¡± Jos¨¦ Alberto Rodr¨ªguez, director global de Protecci¨®n de Datos Cornerstone OnDemand

Cambios necesarios

?A qu¨¦ deberes se refiere Adsuara? ?En qu¨¦ difiere este reglamento de lo establecido hasta ahora por la ley? Los expertos se?alan que el RGPD supone un cambio de enfoque. ¡°La normativa actual se?ala detalladamente cuales son las obligaciones y las medidas que deben adoptar las empresas. En el nuevo reglamento, sin embargo, son las empresas las que proactivamente deben demostrar que cumplen el reglamento, estableciendo las medidas que crean oportunas en funci¨®n del nivel de riesgo que el tratamiento de datos pueda significar para las personas¡±, explica Zimmermann.

El director de Adigital sugiere, para empezar a adaptarse, hacer una revisi¨®n profunda de los tratamientos realizados en la empresa, ¡°empezando por identificar y documentar todos los procesos: de d¨®nde se obtienen datos, qu¨¦ se hace y qui¨¦n puede acceder a ellos, tecnolog¨ªas empleada, etc.¡±. A continuaci¨®n -prosigue- habr¨ªa que examinar qu¨¦ aspectos del reglamento no cumplen actualmente y amoldar los procesos. Se?ala que uno de los principales cambios pasa por la necesidad de adaptar las cl¨¢usulas informativas y documentar el cumplimiento normativo. ¡°Seg¨²n los casos, habr¨¢ que llevar un registro de la actividad de tratamiento, nombrar un delegado de protecci¨®n de datos, modificar los contratos con los proveedores que requieran tratamiento de datos, realizar evaluaciones de impacto o adaptar los procedimientos de atenci¨®n de derechos de las personas¡±, comenta.

Rodr¨ªguez ahonda en la figura del delegado de protecci¨®n de datos, ¡°un rol que en muchas organizaciones no existe y que ser¨¢ clave para cumplir de forma segura el nuevo reglamento¡±. Explica que esta persona ser¨¢ la responsable de velar por el cumplimiento de la RGPD, informar¨¢ sobre las obligaciones de la empresa, determinar¨¢ cu¨¢ndo y c¨®mo debe realizarse una evaluaci¨®n del impacto de la privacidad, ser¨¢ el contacto ante las autoridades nacionales de protecci¨®n de datos, etc.

La respuesta por parte de los expertos es rotunda: no, no estamos preparados en materia de protecci¨®n de datos

El directivo de Cornerstone OnDemand destaca la importancia de que cada organizaci¨®n defina qu¨¦ datos necesita realmente y para que los utiliza. Y, una vez hecho, elaborar procedimientos que ayuden a evitar las sanciones y tener un plan de contingencia en caso de una situaci¨®n especial como puede ser una fuga de datos. ¡°La ley establece un flujo operativo claro: tratamiento l¨ªcito, leal y transparente; datos adecuados, pertinentes, limitados, exactos y actualizados; conservaci¨®n limitada en el tiempo y almacenamiento seguro¡±, puntualiza.

Adsuara comenta que, si bien algunas especificidades no estar¨¢n claras hasta el mismo 25 de mayo, conviene ir poniendo en marcha tareas a su juicio prioritarias. Por ejemplo, recabar de los titulares de los datos su consentimiento informado, expreso y espec¨ªfico (para cada finalidad) para toda la informaci¨®n personal que la organizaci¨®n vaya a tratar.

Multas y puntos delicados

?Y qu¨¦ pasa si no se cumple el RGPD? Las organizaciones infractoras se enfrentan a multas que podr¨ªan alcanzar los 20 millones de euros o bien de hasta un 4% de su cifra de facturaci¨®n anual. ¡°Se aplicar¨ªa la cifra m¨¢s elevada entre estas dos cantidades, que podr¨ªa suponer incluso el cierre¡±, afirma Rodr¨ªguez. Sin llegar a esos extremos, los expertos indican otro da?o inevitable ante cualquier m¨ªnima multa o problema de fuga de datos: el perjuicio en t¨¦rminos de reputaci¨®n frente a sus empleados y clientes actuales y futuros. No hay m¨¢s que mirar al caso LexNET y a tantos otros.

Tambi¨¦n conflictivo es d¨®nde establecer el l¨ªmite entre la informaci¨®n profesional y personal de un empleado, que determinar¨¢ a qu¨¦ datos de empleados, clientes y otros con quienes se relacione puede acceder una empresa o una organizaci¨®n. ¡°Es uno de los puntos m¨¢s delicados. El RGPD establece el principio de minimizar la recogida de datos, que deber¨¢ estar justificada. Pero, ?es esa justificaci¨®n siempre objetiva? ?Si mi trabajo requiere una atenci¨®n especial (por ejemplo, si soy conductor o piloto), podr¨ªa una empresa exigir que lleve siempre una pulsera de control de actividad que notifique sobre mis horas de sue?o?¡±, plantea Rodr¨ªguez.

¡°Una empresa puede tratar la pr¨¢ctica totalidad de los datos personales de una persona, siempre y cuando lo realice correctamente y disponga de una causa de legitimaci¨®n. Por ejemplo: el consentimiento del interesado, la ejecuci¨®n o preparaci¨®n de un contrato, el cumplimiento de una obligaci¨®n legal, la protecci¨®n de los intereses vitales de una persona, o el inter¨¦s leg¨ªtimo¡±, a?ade Zimmermann. Adsuara especifica que, si bien os datos personales son todos los que se refieren a una persona f¨ªsica (identificada o identificable), todas las personas tienen una esfera p¨²blica (profesional) y una esfera privada. ¡°Ah¨ª se establece el l¨ªmite¡±, afirma.

Rodr¨ªguez concluye con una insistencia: ¡°El reglamento no impone, de manera general, nuevas restricciones al tipo de datos que se podr¨ªan acceder. Lo que hace es reforzar el hecho de que s¨®lo se utilicen los datos realmente necesarios, de manera clara y transparente, y durante un tiempo limitado. Y eso ya est¨¢ a menudo definido en las leyes laborales, los convenios colectivos o la jurisprudencia¡±.