A fondo: Las nuevas reglas de juego que introduce el RGPD
El concepto de responsabilidad proactiva y la figura del Delegado de Protección de Datos son sólo dos de los cambios que impone a las empresas el Reglamento General de Protección de Datos, que habrá que cumplir a partir de 2018.
Las siglas RGPD serán compañeras de largo recorrido para las compañías, que a pesar de estar condenadas a conocer su significado, a pesar de que tienen que aprender a respetar las normas que dan forma a su contenido, todavía no les están prestando la atención necesaria. RGPD es lo mismo que Reglamento General de Protección de Datos, que nace a nivel europeo para sustituir a la Directiva de 1995 en materia de protección de datos y para adaptarse a la realidad digital, presente y futura, en la que internet cobra fuerza. El Reglamento fue aprobado en abril de 2016. Entró en vigor a finales del mes siguiente. Y ahora que se ha cumplido un año de su existencia, comienza la cuenta atrás para su aplicación.
El RGPD “será de obligado cumplimiento en mayo de 2018 y hay que tomarse muy en serio los cambios que introduce, porque son muchos, y no dejar los deberes para última hora”, tal y como advierte Rosa Díaz Moles, directora general de Panda Security España en declaraciones a Silicon.es.
“Probablemente, para las compañías, la modificación más grande” de cara a la aplicación del RGPD, una modificación que además “afectará a la forma de trabajar” que tienen, “tendrá que ver con sus medidas de seguridad y con, por ejemplo, la obtención del consentimiento de los interesados”, apunta Sonia Martín, directora de Servicios Profesionales de Seguridad de Secure&IT y experta en compliance TIC con la que también hemos hablado. Martín explica que con el RGPD “ya no es válido el consentimiento tácito o implícito, sino que debe ser explícito”. Y eso supone un cambio sustancial. Sheila FitzPatrick, Worldwide Data Governance y Chief Privacy Officer de NetApp, la otra experta a la que hemos consultado acerca de este tema también se refiere a “los exigentes requisitos para obtener consentimiento explícito, aportado libremente e inequívoco de la persona, antes de recopilar cualquier dato personal” como una de las novedades a tener en cuenta.
Los aspectos más críticos de la normativa
Hay siete aspectos que se pueden considerar “los más críticos y problemáticos para las compañías” que deben respetar el nuevo Reglamento. Además de exigir un consentimiento explícito como condición clave, destaca el alcance que tiene el propio RGPD. “El amplio impacto mundial del Reglamento” es un tema realmente importante para Sheila FitzPatrick, “ya que va a afectar a cualquier compañía en cualquier lugar del mundo con acceso a los datos personales de un ciudadano de la Unión Europea, independientemente de si la organización tiene presencia” o no en los países comunitarios.
“El RGPD representa un cambio enorme en la regulación sobre la recopilación y el uso de los datos. Es la mayor revisión de las leyes para la protección de datos realizada en casi 20 años”, subraya FitzPatrick, y “va a afectar a todas las personas y a todas las organizaciones dedicadas a la recopilación, procesamiento, acceso, distribución, almacenamiento, alojamiento y/o transferencia de datos personales europeos, tanto dentro como fuera de Europa”. Así que uno de los aspectos más problemáticos del GDPR es su extraterritorialidad. Este nuevo reglamento se va a aplicar a todos los países y a todas las jurisdicciones”, insiste la directiva de NetApp, que recuerda que “una de las piezas centrales del RGPD es la economía digital, por lo que su implantación afectará a todos los negocios” más allá del Viejo Continente.
En tercer lugar se contemplan “nuevas obligaciones de los suministradores o de los procesadores de datos de terceras partes que, ahora, serán responsables de cumplir con el RGPD. Los encargados del procesamiento de los datos ya no podrán pasar la responsabilidad única para el cumplimiento de la privacidad de los datos a los controladores de los datos”, lo que “representará una dificultad especial para los suministradores en la nube, que se han mostrado reticentes a aceptar cualquier responsabilidad para el cumplimiento de la privacidad”, valora Sheila FitzPatrick.
Esta profesional añade que habrá un “requisito de 72 horas para notificar una violación de datos” salvo improbabilidad de que tal violación suponga un riesgo para las libertades y los derechos de las personas. Pero hay más. FitzPatrick cree que “la obligación del derecho al olvido será uno de los requisitos más difíciles que tendrán que satisfacer las organizaciones” porque a partir del año que viene van a tener que “saber dónde guardan todos los datos para poder destruirlos cuando la persona ejecute su derecho a la eliminación de datos. Ésta será una tarea difícil”, reconoce, “especialmente para los datos guardados en la nube, en donde pueden existir replicaciones desconocidas por las organizaciones”.
A mayores, las empresas “no pueden ignorar las nuevas sanciones” que estipula el Reglamento si no cumplen con lo establecido por el mismo. Estas sanciones son cuantiosas. “Pueden alcanzar los 20 millones de euros o un 4 % de los ingresos mundiales de la compañía”, lo que constituya un mayor importe de los dos. El séptimo aspecto crítico es el “requisito para implantar una ‘privacidad por diseño’, lo que significa que la privacidad ya no va a poder ser una idea de último momento”, como bien describe Sheila FitzPatrick.
La situación ha cambiado y “las compañías deben entender claramente los datos que son absolutamente necesarios para ofrecer un servicio, o unos servicios, y para gestionar las relaciones empresariales, además de para garantizar que todas las decisiones tecnológicas se ocupen y satisfagan las obligaciones establecidas en las leyes sobre protección de datos”, transmite a las empresas españolas, obligadas a cumplir con la normativa, la responsable mundial de Data Governance de NetApp. “También deben entender que la seguridad no es sinónimo de privacidad. La seguridad es un componente de la privacidad, pero no garantiza el cumplimiento del Reglamento”.
El principio de responsabilidad proactiva
Este nuevo Reglamento de Protección de Datos introduce conceptos que hay que asimilar. Introduce, por ejemplo “el principio de ‘accountability’, término inglés que implica” la cuestión de la “’responsabilidad proactiva’ y, además, la obligación de rendir cuentas”, dice Rosa Díaz Moles.
La responsabilidad proactiva se refiere a “la obligación que tiene la empresa de responsabilizarse ante posibles reclamaciones antes de que se produzcan”, define Sheila FitzPatrick, y “requiere la implementación de medidas suficientes”, añade Sonia Martín, “para asegurar que el tratamiento de datos personales cumple con unos mínimos requisitos de seguridad, y además que se demuestre dicho cumplimiento. Ya no tenemos tres niveles (básico, medio y alto) de medidas de seguridad”, diferencia Martín, “sino un análisis de riesgos, tras el cual se podrán evaluar las medidas de seguridad que necesitamos y que proactivamente revisaremos para verificar que siguen siendo las adecuadas”.
¿Y en qué departamentos recae esta responsabilidad? “Principalmente”, determina la directora de Servicios Profesionales de Seguridad de Secure&IT, “en la dirección de la empresa, que es la que debe comprometerse y apoyar el cumplimiento de las nuevas directrices y adoptar las decisiones necesarias para que el resto de departamentos puedan llevarlo a cabo. Al final, se trata de que dirección promueva los procedimientos necesarios para que cada uno de los departamentos afectados participe y colabore en el cumplimiento del RGPD”.
Muestra de esta responsabilidad proactiva es el nombramiento de un Delegado de Protección de Datos. Esto es, un DPD o un DPO (de Chief Data Officer). “Las empresas estarán obligadas a realizar el análisis de riesgo y establecer los controles y medidas que pondrá en marcha para cumplir la normativa. Para ello”, indica Rosa Díaz, las organizaciones “que cumplan unos determinados requisitos -fundamentalmente que realicen monitorizaciones periódicas y sistemáticas de datos a gran escala o gestionen datos considerados sensibles– tendrán que nombrar o contratar” a alguien que actúe como DPD. “Además de establecer los procesos necesarios para captar y almacenar la información, también se han de tomar las medidas para protegerlos”, comenta la directora de Panda Security.
Los profesionales que ocupen el rol de Delegado de Protección de Datos serán “los máximos responsables de la utilización de los datos en su compañía”, resume Sheila FitzPatrick, con “un nivel muy alto en la organización, porque la responsabilidad que asumen es muy importante y tienen que tener empoderamiento suficiente para poder tomar decisiones importantes sobre estos temas, que también afectarán a otros departamentos”.
¿Es imprescindible el Delegado de Protección de Datos? “En compañías medio-grandes será un puesto con 100 % de dedicación”, prevé la Chief Privacy Officer de NetApp , mientras que “en las pymes será una responsabilidad compartida con otras similares”. Sonia Martín resalta que el DPD “se encargará de asesorar y asegurar el cumplimiento de la normativa” en materia de protección de datos. “Así pues, aunque no sea obligatorio ni necesario para todas las empresas”, dado que el Reglamento hace un listado de quienes están obligados a nombrar un especialista, empezando por los casos en los que el tratamiento lo realice un organismo público, Martín recomienda “que se designe uno en las empresas, para coordinar y controlar el cumplimiento del RGPD”.
Una oportunidad para las empresas
Si hay que resumir el cambio de escenario que supone este marco legal europeo al que le queda poco para imponer sus reglas, cabe destacar que obligará a “los distintos sectores de actividad afectados a dotarse de las medidas de seguridad idóneas para garantizar la correcta protección y gestión de los datos de su negocio, la continuidad de su actividad y la prestación de los servicios”. Así lo esquematiza Rosa Díaz Moles. Mientras, Sonia Martín indica que hay que atender “a los riesgos a los que están expuestos los afectados por los tratamientos de sus datos personales” y que “no sirve en primera instancia ‘reciclar’ nuestro documento de seguridad”.
Con el RGPD “se incorporan medidas coercitivas en caso de incumplimiento”, continúa Rosa Díaz, “aunque éstas deberían ser medidas extremas. Las empresas y organizaciones debieran considerarlo como una oportunidad para mejorar sus sistemas de información y adoptar las medidas técnicas y organizativas necesarias”. No en vano, “pocas ocasiones hay como ésta para justificar y conseguir presupuestos adicionales en las organizaciones”.
Martín confirma que “el RGPD ha establecido sanciones mucho mayores, pero” al mismo tiempo habría “incorporado nuevos poderes a las autoridades de control, como lo es nuestra Agencia Española de Protección de Datos”, porque “no todo van a ser sanciones”. Esta especialista en Compliance TIC valora que “el espíritu del RGPD pasa por evitar aquellas prácticas llevadas a cabo, hasta ahora, por compañías a las que les sale más rentable no cumplir que hacerlo”.
“En el ámbito corporativo”, prosigue Sonia Martín, “lo importante es que a la hora de cumplir con el RGPD se deberá desarrollar un sistema de gestión de protección de datos acorde a la empresa. De forma que, en principio, debería poder integrarse fácilmente en los procedimientos de la compañía. Qué mejor forma de hacerlo que implantar un sistema de gestión ajustado a las necesidades de la empresa, sin sobresfuerzos o cumplimientos imposibles”, destaca la directora de Servicios Profesionales de Seguridad de Secure&IT. Además, “asimilándolo a un sistema de gestión al uso, el legislador ha conseguido no caer en la obsolescencia que irremediablemente sobreviene cuando se intentan regular las nuevas tecnologías, añadiendo incluso la posibilidad de que las empresas voluntariamente lo certifiquen”.
Lo que se está reconociendo es “la realidad de la masificación del tratamiento y comunicación automatizado de los datos”, recomendando aparte “tecnologías específicas para su protección, como es el cifrado, la seudonimización” y demás, “pero el mayor impacto en las empresas será la clasificación de los datos, definición de políticas a aplicar, responsabilidades y procesos de soporte a la política de protección del dato”, declara Díaz Moles sobre el futuro de “la protección de los datos personales en el contexto de su utilización en los procesos de negocio”.
“El GDPR incorpora unas nuevas normativas prescriptivas sobre los mecanismos que deben utilizar las organizaciones para demostrar su cumplimiento”, de modo que éstas “deben adoptar verdaderamente unos estándares de gobernanza y responsabilidad y no limitarse únicamente a hablar sobre las obligaciones relacionadas con la privacidad”, concluye por su parte Sheila FitzPatrick. La próxima generación de estrategias deberá “abarcar los tres componentes clave que refleja el Reglamento”, indica FitzPatrick, que son: “una nueva ruta para el cumplimiento, un nuevo marco de transparencia y un nuevo plan de sanciones, imposiciones y acciones”.