Togas.biz

Alejandro Padín hace balance de un año de aplicación del Reglamento General de Protección de Datos (RGPD) que este 25 de mayo cumple su primer aniversario desde su aplicación. Según explica, pese a ser una normativa europea, está teniendo impacto en Estados Unidos, donde muchas multinacionales se están autoimponiendo niveles de exigencia en la gestión de la privacidad equivalentes al RGPD. Este experto considera que la nueva regulación ha favorecido un cambio de mentalidad en las empresas que, en muchos casos, se ha traducido en una nueva estrategia. En su opinión, el correcto cumplimiento de la norma requiere un conocimiento profundo de la legislación, experiencia en la materia y sensibilidad para las cuestiones relacionadas con el tratamiento de datos.

El 25 de mayo se cumple un año desde que la aplicación del RGPD se hizo obligatoria para todos los países de la UE. ¿Qué balance hace de estos doce meses?

El RGPD ha supuesto un cambio de mentalidad en la forma en que las entidades enfocan sus estrategias de tratamiento de datos personales en sus organizaciones. En algunos casos, ha supuesto un cambio de rumbo en esa estrategia y, en otros, ha supuesto establecer por primera vez una estrategia. Esto es muy positivo en sí mismo, porque la economía digital se desarrolla en gran parte sobre el valor de los datos y la información, y carecer de una estrategia en este ámbito, o errar en su definición, es dirigir el negocio al cataclismo.

¿Ha habido mucha diferencia en el grado de implantación en los diferentes países de la UE?

En general, a nivel empresarial ha existido una reacción similar en todos los países de la UE. El hecho de que exista una norma única para toda Europa ha influido en esta situación, ya que incluso si un país desarrolla su normativa local de un modo diferente a otros, el standard de cumplimiento mínimo ya está definido en el RGPD.

¿Cuál está siendo el nivel de cumplimiento en las empresas?

Es difícil evaluar este punto, y hay que distinguir entre cantidad y calidad del cumplimiento. Creo que no me equivoco si digo que un porcentaje muy alto de compañías han hecho algo para adaptarse a la nueva normativa, pero me temo que un porcentaje significativo de esas empresas han optado por una mera sesión de “maquillaje”, y se han situado en una posición de aparente cumplimiento que esconde un incumplimiento serio de la normativa. A esto ha ayudado la aparición de numerosos supuestos consultores con poca formación y menos escrúpulos, que han ofrecido a empresas un servicio de teórica adaptación, llevando a esas empresas a una situación de riesgo grave por incumplimiento de la norma.

¿En qué ámbitos de la empresa se producen más incumplimientos?

La protección de datos personales es una estrategia transversal de la empresa. No podemos decir que haya más incumplimientos en un ámbito de la empresa que en otros, puesto que si hay un incumplimiento lo que falla es la estrategia de la empresa en cuanto a cumplimiento (falta de formación, falta de una correcta adaptación…). Lo que sí hay son áreas de mayor riesgo que pueden dar lugar a incumplimientos, y en ese sentido las áreas más afectadas son aquellas que tratan más datos o datos más sensibles, como son las áreas de marketing, recursos humanos, tecnologías de la información. En los negocios de gran consumo, también el área comercial o de clientes. Y en las startups generadoras de negocios disruptivos basadas en datos, el área de desarrollo de negocio.

¿Cuál es la clave de un buen asesoramiento?

Tal como señala el propio RGPD, el correcto cumplimiento de la norma requiere de un conocimiento profundo de la legislación, experiencia en la materia y sensibilidad para las cuestiones relacionadas con el tratamiento de datos. Estas características, que se atribuyen a la figura del Delegado de Protección de Datos (DPD, o DPO, por sus siglas en inglés), se pueden aplicar a cualquier buen asesoramiento en privacidad. Las compañías que lo han hecho mejor han aumentado el nivel de prioridad de la gestión de la privacidad dentro de las distintas prioridades empresariales. Desde el punto de vista del asesor, además de todas esas características, es necesario aplicar principios relacionados con la ética de los datos, algo fundamental tal como está evolucionando la economía digital.

¿Se ha logrado una mayor concienciación?

Sin duda las entidades están mucho más concienciadas actualmente. Yo suelo decir que nos podemos concienciar de dos maneras: la más deseable, que es convenciéndonos de la importancia de la protección de los datos que tratamos en una organización, entendiendo su relevancia y siendo capaces de percibir el valor que una buena gestión nos aporta en cualquier organización; otra, la necesaria, que es conocer los riesgos de la falta de cumplimiento.

¿Cuáles son las principales dudas legales que ha planteado su implantación?

Se han producido numerosas dudas, en muchos casos derivadas del nuevo enfoque de la normativa. Y es que el RGPD no establece, en muchos casos, un listado concreto de requisitos que hay que cumplir, o una forma detallada de cumplir determinadas obligaciones, sino que establece un esquema de cumplimiento basado en principios, obligaciones basadas en conceptos jurídicos indeterminados y orientaciones generales. El motivo de este enfoque, al que no estamos acostumbrados en nuestro sistema jurídico napoleónico, es que la norma se podrá adaptar a cada entidad según el nivel de riesgo que cada una tenga, que será siempre diferente en cada caso.

¿Qué papel están jugando los DPOs?

La figura del DPO está todavía en evolución. La posición de DPO interno o externo se revela como diferente en cuanto a funciones y enfoque. Estamos viendo también prestadores de servicios que, de nuevo con pocos escrúpulos y poco respeto hacia sus clientes, se configuran como DPO, asesor y defensor en casos de incumplimiento, algo expresamente desaconsejado por el Comité Europeo de Protección de Datos, ya que pueden producirse situaciones de claro conflicto de interés. En muchas organizaciones, el DPO está todavía buscando su puesto y su ubicación en la organización. En este sentido, un DPO debe estar bien asesorado para poder ganar ese espacio que la normativa le reserva.

¿Están siendo severas las autoridades de protección de datos (la AEPD, en el caso de España) en la supervisión del cumplimiento efectivo del reglamento?

Ha habido un período de cierta flexibilidad en la UE en cuanto a las sanciones, pero recientemente en diversos países de Europa las autoridades han empezado a imponer sanciones. En este sentido, hemos visto un poco de todo, desde alguna sanción de 3.000 euros hasta la más alta, impuesta en Francia, de 50 millones de euros, pasando por otras intermedias de 400.000 euros en Portugal. Los motivos, en todos los casos, han sido cuestiones bastante básicas de incumplimiento, como la falta de claridad en la información ofrecida a los interesados, o el tratamiento de datos sin garantías de seguridad. En España, las sanciones de multa que se han impuesto hasta la fecha están en unos niveles similares a los que veíamos con la legislación anterior, pero es importante tener en cuenta que el RGPD tiene límites mucho más altos. Además, la AEPD ha impuesto sanciones de apercibimiento en varios casos, dando la opción a la entidad afectada de subsanar los posibles incumplimientos que pudieran existir.

¿Qué efectos adicionales ha tenido la aprobación de la Ley Orgánica de Protección de Datos?, ¿qué otras reformas legales se esperan en este ámbito?

La Ley Orgánica de Protección de Datos y garantía de los derechos digitales de diciembre de 2018 complementa al RGPD en aquellos aspectos que el propio Reglamento europeo establecía que se podían regular o concretar a nivel nacional. Quizá el impacto mayor de la nueva norma española es su Título X, que recoge la garantía de derechos digitales y que, precisamente trata de cuestiones que no salen del RGPD, sino que están relacionadas con otros derechos que el legislador entendió necesario proteger en el mundo de la tecnología y la economía digital. En este ámbito están los derechos de los usuarios de internet, los derechos de los trabajadores relacionados con la tecnología, el testamento digital, etc.

¿Cree que la regulación de protección de datos en Europa puede suponer un freno para la actividad de las empresas frente a otros mercados como Estados Unidos?

Curiosamente, en Estados Unidos el efecto RGPD está haciendo que, por una parte, muchas empresas multinacionales se estén autoimponiendo niveles de exigencia en la gestión de privacidad equivalentes al RGPD y, por otra parte, los gobiernos y parlamentos estatales y federal estén ya pensando en la necesidad de dictar ellos una norma de protección de datos similar a la europea. El RGPD ha sido ya emulado en estados como California, y otros estados están avanzando en esa línea. A nivel internacional, países como Brasil han dictado leyes que siguen la estela del RGPD, y probablemente otros seguirán. Podemos decir que el RGPD se está imponiendo como estándar internacional en materia de protección de los datos personales. Con ello quiero decir que, probablemente a corto plazo esta norma pueda verse como un problema competitivo (limitaciones, coste de implantación), pero a la largar va a suponer una ventaja competitiva en términos reputacionales y económicos.

¿Qué efectos tiene la normativa de privacidad en otros ámbitos recientemente regulados como el registro horario de los trabajadores?

Cualquier actividad dentro de una empresa que implique el tratamiento de datos personales se ve afectada por la normativa de privacidad. El registro horario es uno de esos ámbitos y, por supuesto, está afectada. Las empresas tendrán que asegurarse de que el sistema que utilicen para controlar los horarios no incumpla la normativa de protección de datos. Este es uno de los casos cada vez más habituales en los que el asesoramiento laboral tiene que ir acompañado de un buen asesoramiento en protección de datos para no incurrir en riesgos.