A fondo: Un día para aprender a proteger los datos; un año para aplicar la lección
La celebración del Día de la Protección de Datos nos recuerda cada 28 de enero, en plena era digital, la importancia de que las empresas se comprometan a gestionar la información personal de sus clientes con rigurosidad. Sobre todo ahora que ha entrado en vigor un nuevo Reglamento europeo.
Día del Internet Seguro, Día del Backup, Día de la Seguridad de la Información, Día de la Seguridad en el Trabajo… son varias las celebraciones que, a lo largo del año, exploran las diferentes caras de la seguridad e intentan captar la atención de personas y empresas. Estas efemérides cumplen su función de recordarnos que no hay que dar ninguna cuestión por supuesta y que cuanto más se optimicen las medidas que ayudan a paliar riesgos, mucho mejor. Otro de esos “Día de…” es el Día de la Protección de Datos, que cae en 28 de enero y pone el acento sobre la necesidad de tomar conciencia y responsabilidad sobre la gestión de la información de carácter personal. Una información que, debido a la popularización de los servicios online, y también con el auge de la ciberdelincuencia, se vuelve más presente y más valiosa que nunca.
Este año la conmemoración del Día de la Protección de Datos es especialmente relevante, porque existe un nuevo Reglamento a nivel europeo “relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”, el Reglamento (UE) 2016/679. La entrada en vigor de dicho “Reglamento, que tuvo lugar el 25 de mayo de 2016” y que “será aplicable el 25 de mayo de 2018, ha supuesto un hito importante en el mundo de la protección de datos”, destaca Rafael García Gozalo, responsable del área Internacional de la Agencia Española de Protección de Datos (AEPD), en declaraciones a Silicon.es, “ya que establece nuevas reglas de juego para quienes traten datos de carácter personal. Y esto, por supuesto, requiere continuar con la labor de concienciación entre las empresas, uno de los ejes prioritarios de actuación de la AEPD en este año 2017”. Un año en el que hay que aprender bien la lección de la protección de datos y comenzar a aplicarla en consecuencia.
“En España, la AEPD está haciendo un gran trabajo a la hora de proteger los datos de los usuarios españoles”, valora Pablo Corrales, abogado del despacho Abanlex especializado en estos asuntos, a quien también hemos preguntado sobre el estado de dicha protección en España. ¿Es necesario seguir concienciando a las empresas de nuestro país sobre el tema de la protección de datos o queda mucho trabajo por hacer en plena era del Big Data, el cloud computing y la digitalización? Pese al buen hacer de los organismos competentes, “todavía se echa en falta una cultura empresarial más proclive a considerar los datos de los usuarios un bien importante y que debe ser protegido de la manera más efectiva posible”, reconoce Corrales. Éste distingue dos realidades. Mientras que aquellas “empresas que basan su actividad en el tratamiento de datos sí que destacan sus medidas para proteger los datos de sus usuarios, el resto de empresas parecen considerar las obligaciones en materia de protección de datos como un obstáculo más generado por la Administración”.
“En mi opinión”, añade el abogado, “las empresas deberían contemplar la protección de los datos de sus clientes como un signo de calidad que poder ofrecer a sus clientes, proveedores” y demás actores con los que se relacionan. En este sentido, desde la Agencia Españolad de Protección de Datos indican que “la adaptación al Reglamento europeo va a ser sin duda uno de los grandes retos no sólo para las pymes”, que son legión en España, “sino para la Agencia” que ahora mismo “está trabajando para ofrecer soluciones que faciliten el cumplimiento de las obligaciones que impone el Reglamento a los responsables del tratamiento de datos personales”. Esto después de que entre 2015 y 2016 haya ejecutado “las 76 actuaciones que tenía previstas”, blandiendo un “Plan Estratégico 2015-2019” que tiene en cuenta “la prevención y la concienciación como aspectos imprescindibles para difundir y asentar una cultura de protección de datos”.
Lista de errores más frecuentes
Aunque no deberían hacerlo, las empresas todavía cometen fallos de protección. “Los principales errores de las empresas son infravalorar la importancia que los datos tienen para sus clientes y la utilidad de dichos datos para su propia actividad empresarial”, determina Pablo Corrales, que recuerda que “los ciudadanos cada vez están más concienciados de la importancia que tiene la seguridad y privacidad de sus datos personales. Desde que Edward Snowden revelase las prácticas de espionaje masivo del gobierno de Estados Unidos a través de muchas empresas americanas, los ciudadanos han desarrollado una gran sensibilidad sobre el trato que se da a sus datos personales”, insiste Corrales, “hasta el punto de que dicho tratamiento ha llegado a convertirse en uno de los puntos a tener en cuenta a la hora de escoger los servicios de una u otra compañía”.
Las equivocaciones penalizan, y resulta lógico que la gente no esté dispuesta a hacer tratos con organizaciones que no valoran como es debido los datos de sus usuarios o clientes. Que no son transparentes sobre el tratamiento que les dan, sobre su almacenamiento y su posible compartición con los Gobiernos. Y que no ponen en funcionamiento las medidas necesarias, y existentes, para mantenerlos a salvo de terceros no autorizados. Al final el tema de la protección permite tejer una relación de confianza entre todas las partes. “Por otro lado”, añaden desde la firma de Derecho Tecnológico Abanlex, “el tratamiento correcto de los datos personales, puede reportar grandes beneficios a las empresas al ayudar a que éstas comprendan mejor las necesidades de sus clientes y con ello, ser mucho más efectivas a la hora de ofrecer sus servicios”.
Lista de obligaciones clave
Las obligaciones en protección de datos por parte de las empresas están recogidas tanto en el nuevo Reglamento publicado por la Unión Europea como por “la LOPD” o la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal “y el reglamento que la desarrolla”, tal y como apunta el miembro de Abanlex consultado por Silicon.es. Hay algunas que merece la pena enfatizar. Pablo Corrales resume las principales en cuatro áreas que van desde el manejo de los datos por parte de las organizaciones a su estrategia general . “Algunas de las obligaciones más importantes”, dice, “son aquellas relativas a la identificación y control del personal que accede a los datos, el mantenimiento de un registro de incidencias que afecten a los datos, la creación y actualización de copias de respaldo y la redacción de un documento de seguridad”.
Partiendo de que el nuevo Reglamento “va a cambiar la forma en la que las organizaciones abordan la protección de datos”, la AEPD a través de su responsable del área Internacional advierte de que “será necesario que todas las organizaciones que tratan datos personales efectúen un análisis de riesgos de sus tratamientos para conocer qué medidas tienen que aplicar y cómo tienen que hacerlo. También deberán revisar la forma en la que obtienen y registran el consentimiento, puesto que casos de consentimiento tácito que hoy son aceptados dejarán de serlo cuando se aplique el Reglamento”. Un cambio aparejado al nuevo escenario “es que el consentimiento deberá darse mediante una declaración en tal sentido o mediante una clara acción afirmativa”, detalla Rafael García Gozalo. “Es importante saber que el consentimiento no se entenderá concedido cuando se base en la inacción de la persona. Ese consentimiento tácito o por omisión o falta de actuación no es válido en el marco del Reglamento. Por lo demás, se requiere, como se ha venido haciendo hasta ahora, que ese consentimiento inequívoco sea libre, específico e informado”.
Lista de posibles consecuencias
Y quien no cumpla con lo establecido, tendrá que enfrentarse a las consecuencias. Tanto de pérdida de reputación y de clientes, como monetarias. García Gozalo apunta que el nuevo Reglamento “establece que las violaciones de seguridad de los datos deberán notificarse a las autoridades de control sin dilación indebida, a más tardar en 72 horas después de que se haya tenido constancia de ella”. Esto es, “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”, matiza este experto. “Del incumplimiento de las obligaciones previstas”, continúa, “podría derivarse la imposición de una sanción administrativa”. ¿De cuánto dinero estamos hablando? Se contemplan “importantes multas administrativas que pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio anterior”, informa Pablo Corrales, “optándose por la de mayor cuantía”.
Corrales ahonda en el cambio que supone que “las compañías que sufran brechas en la seguridad de los datos personales” pasen a estar “obligadas a informar a todos aquellos individuos que hayan podido verse afectados”. En el “caso de no saber a cuáles ha podido afectar, tendrán que publicar en un medio de comunicación la existencia de dicha brecha de seguridad”, profundiza este abogado. “Esto, no obstante, podrá ser evitado si previamente se han tomado medidas que no permitan que los datos sean legibles por terceros, como por ejemplo, el cifrado”. ¿Cuál es la mejor manera de abandonar las malas prácticas en materia de protección de datos? ¿Las sanciones que prevé la ley? ¿La formación? ¿Campañas informativas? ¿El fichaje de equipos especializados? “La mejor manera”, sentencia Corrales, es que la empresa “cuente con profesionales encargados de la correcta implementación de las medidas necesarias para mantener” en todo momento su “seguridad, que cuente con un equipo especializado tanto el ámbito legal como en el tecnológico para que la transposición de las disposiciones legales a la realidad de la empresa sea efectiva y completa”.
“Una de las señas de identidad del nuevo Reglamento”, según Rafael García Gozalo, “es asimismo una de las herramientas que pueden resultar de mayor utilidad a las empresas a la hora de adaptarse al esquema que despliega la nueva norma europea de protección de datos”. ¿Y qué es, concretamente? “El principio de responsabilidad activa o preventiva”, resuelve García. “Este principio se asienta sobre una serie de medidas con cuya adopción el responsable estaría en disposición de garantizar y demostrar que el tratamiento de datos se lleva a cabo de acuerdo con el Reglamento”. Desde el organismo regulador en España apuestan en todo caso por fomentar “una cultura de protección de datos entre las organizaciones”, especialmente en “las pymes, que conforman el 99 % del tejido empresarial español”.
Lista de propósitos para 2017
“Para pymes y micropymes el principal valor añadido del Reglamento es que determina que toda organización tenga que hacer una valoración de los riesgos que presentan los tratamientos de datos que llevan a cabo. Para empresas pequeñas y medianas esto es un gran avance, ya que implica tomar una mayor conciencia de qué datos se manejan y cómo se hace”, subraya Rafael García Gozalo, que en la propia ley ve “varias” herramientas que se ponen a “disposición de los responsables del tratamiento de datos para adaptarse a la norma y obtener un provecho competitivo de ese cumplimiento”. En términos generales, “para todas las organizaciones creo que el mejor consejo que se puede dar es que apliquen sin prejuicios preconcebidos las medidas que el Reglamento prevé. En realidad se trata de unas medidas que se pueden considerar imprescindibles si se están tratando correctamente datos personales”, comenta el representante de la AEPD.
“Las organizaciones que realicen tratamientos de datos deberían tener claros y mínimamente documentados unos aspectos esenciales de esos tratamientos. Y aquellas que lleven a cabo tratamientos complejos y con alto potencial de impacto deben hacer una evaluación de ese impacto y adoptar las medidas necesarias”, sigue García. “Lo mismo podría decirse de las demás medidas que, como las de seguridad o la designación de un delegado de protección de datos o la implantación de protección de datos desde el diseño, presenta el Reglamento”. Por su parte, Pablo Corrales recomienda por encima de todo “que la empresa cuente con profesionales tanto legales como expertos informáticos. Los primeros serán necesarios para identificar las obligaciones que la normativa en materia de protección de datos recoge y los segundos para implementar dichas obligaciones de forma efectiva en los sistemas de la empresa”.
“También haría hincapié”, destaca Corrales, “en la importancia que tiene la formación de los empleados de la empresa para la seguridad de los datos personales. La formación es la mejor manera de que las medidas de seguridad diseñadas por los profesionales que se encargan de la protección de datos sean implementadas de forma efectiva en todos los ámbitos”, asegura. “Por último, independientemente de que la normativa obligue a ello, creo que mantener los datos de los clientes cifrados es una de las mejores medidas que una empresa puede implementar para mantener seguros los datos de los que es responsable”. Y en este proceso deberían acompañar las autoridades. “Desde la AEPD estamos dispuestos a ofrecer a las organizaciones” aquellos “recursos que les permitan entender mejor el alcance de estas obligaciones y aplicarlas de la manera más sencilla posible”, manifiesta su encargado del área Internacional. “Pero no puede pasarse por alto que el Reglamento exige que las entidades que tratan datos personales asuman una posición de responsabilidad proactiva. Las autoridades de supervisión estamos dispuestas a apoyar el ejercicio de esa responsabilidad”.