4 años del RGPD: ¿Cómo se han adaptado las empresas españolas?

El RGPD marcó un antes y un después en la protección de datos. Cuatro años después de su entrada en vigor, el nivel de adaptación de las empresas españolas es adecuado, aunque con notables diferencias en función de su tamaño y sector.

El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2022. Aunque no era la primera normativa en España en torno a la protección de datos, ya que la LORTAD data de 1992 y la LOPD se aprobó en 1999, el nuevo reglamento supuso un cambio de modelo de cumplimiento.

“El RGPD trajo consigo una nueva forma de concebir la protección de los datos personales. Fue una normativa que cambió para siempre la concepción de la protección de datos y de un derecho fundamental como es la privacidad. Y que sitúo, además, a Europa como pionero mundial en este ámbito legislativo. Hasta entonces, las compañías se habían limitado a cumplir una serie de legislaciones específicas que regulaban el tratamiento de ese tipo de datos dentro de su actividad de negocio. Sin embargo, el RGPD exigía a las empresas ir más allá del mero cumplimiento, desarrollando una auténtica estrategia de gestión de riesgos relacionados con la protección de datos”, remarca Carmen Sánchez, directora de Regulación y Asuntos Públicos de DigitalES.

Cuatro años después, es un buen momento para hacer balance y analizar cómo se han adaptado las empresas españolas a este nuevo marco legal. “Creo que el grado de cumplimiento de las organizaciones es elevado en España, tanto de las obligaciones tradicionales como de las nuevas exigencias que el RGPD incorpora”, asegura Santiago Vázquez-Graña, DPO de Capgemini.

Sin embargo, esta afirmación tiene matices. “Si realizamos un análisis más detallado, hay que diferenciar siempre entre pymes y grandes compañías, en las que la cultura de protección de datos está más asentada dentro de su organización y, por lo tanto, el grado de cumplimiento general es mayor que en pequeñas y medianas empresas. También creo que existen diferencias notables en el nivel de cumplimiento en función del sector de actividad que analicemos, destacando por encima de la media las entidades del sector de telecomunicaciones o del sector financiero y, en general, aquellas entidades cuya actividad está directamente relacionada con el tratamiento de datos personales”, especifica.

Igualmente, Iñaki Uriarte, secretario general y director del Área Legal de la Asociación Española de la Economía Digital (Adigital), señala que “depende del tipo, del tamaño y del sector de actividad de la empresa”. “Las medianas y grandes empresas y aquellas otras que tratan grandes volúmenes de datos y que, además, tratan datos sensibles para el desarrollo de su actividad, realizan grandes esfuerzos para cumplir con la normativa. Sin embargo, las pequeñas y las microempresas, cuya actividad no exige un volumen de tratamiento de datos muy alto o no tratan datos sensibles, cuentan con menos recursos para tratar de cumplir con la normativa”, explica.

Además, Noemi Brito, directora de LOTS y Protección de Datos de KPMG Abogados, recuerda que no conviene dormirse en los laureles. “La continua publicación de nuevas directrices, instrucciones, notas técnicas y orientaciones por parte de las autoridades de control competentes, aclarando su sentido y formulando recomendaciones para su mejor observancia, ha obligado a las organizaciones a mantenerse en constante alerta acerca de los medios más apropiados para cumplir en cada momento. Esta situación, además, se complica en caso de que las empresas operen en diversas jurisdicciones, pues muchas de estas orientaciones y criterios presentan ligeras variaciones de unos Estados miembros a otros, lo que puede complicar el establecimiento de estándares comunes de control y cumplimiento transfronterizo de esta normativa”, detalla.

El equipo de Privacidad del bufete de abogados Legal Army también advierte que  “las empresas, tanto grandes como pequeñas, aún están muy lejos de sentirse cómodas con su situación actual en cuanto al cumplimiento de RGPD”. Y explica el porqué. “Los costes asociados a este cumplimiento y la complejidad técnica de solventar algunos de los puntos más relevantes, unido a la visión generalizada de este cumplimiento como una traba al negocio más que como un punto de valor añadido a la relación con el cliente, están provocando que muchas empresas no inviertan los recursos necesarios para adaptarse a la nueva realidad normativa”.

No obstante, el bufete señala que “esta tendencia está empezando a cambiar”. “Cada vez son más las empresas que se están dando cuenta de que implementar un modelo de gestión de la privacidad eficiente les sitúa en un punto de ventaja respecto de sus competidores, por la concienciación cada vez mayor de los ciudadanos en cuanto al uso de su información personal. De hecho, esto se está reflejando en una mayor inversión en la materia, aunque todavía estamos lejos de poder afirmar que el ecosistema empresarial, en general, goza de un adecuado nivel de cumplimiento del RGPD”, apunta el despacho.

Por otra parte, la responsable de DigitalES alerta de que el usuario todavía no conoce demasiado bien hasta dónde llega la ley y sus derechos. “El ciudadano no es del todo consciente del poder que tienen sus datos, aunque cada vez hay más empoderamiento. Por ejemplo, en temas de salud, en lo que se refiere a derechos de rectificación o de acceso a la historia clínica. También en lo concerniente a la retirada de contenidos, al derecho al olvido. Y al ciudadano le cuesta canalizar su queja o reclamación”, comenta.

Puntos críticos

Uriarte explica que “la normativa es muy compleja y el correcto cumplimiento de la misma es complicado, dado que requiere tener recursos y realizar procesos y revisiones de la aplicación de la normativa de forma continuada”. Además, señala que “no es una normativa precisa, por lo que el nivel de inseguridad jurídica es elevado”, puesto que “hay un amplio margen para la interpretación, por lo que es necesario contar con el asesoramiento legal, técnico y organizativo necesario para poder aplicar la normativa en las empresas”.

Legal Army destaca que “la aplicación de los plazos de conservación es uno de los puntos más conflictivos en lo que se refiere a la implantación de las obligaciones impuestas por RGPD”. “En un mercado donde los datos, personales o no, están convirtiéndose en uno de los activos principales de las empresas, existe cierto rechazo a la supresión de los mismos, por miedo a perder información que pueda resultar útil. A esto debemos añadir la complejidad de lo que podría considerarse el ‘cumplimiento estricto’ de este precepto, ya que dentro de una misma categoría de interesado —clientes, por ejemplo—, existen multitud de plazos distintos, ampliándose la complejidad cuanto más grande es la empresa y más datos son tratados, lo que impide que las compañías cumplan con sus obligaciones sin que el coste del proceso se vuelva inabarcable”, detalla el bufete.

El DPO de Capgemini también señala que uno de los mayores retos a los que se enfrentan las compañías en el cumplimiento del RGPD es la gestión de riesgos de terceros, “siendo necesaria la implementación de programas efectivos para la evaluación y supervisión de los proveedores con acceso a datos personales durante todo el ciclo de vida del servicio”. Y muy vinculado a lo anterior, habla de “la adaptación de las transferencias internacionales de datos a las exigencias derivadas de los continuos cambios normativos y jurisprudenciales”. “Ambos desafíos están presentes en los cada vez más demandados y utilizados servicios cloud, en sus diferentes modalidades, por lo que creo que también es importante poner el foco en éstos y que las organizaciones sean conscientes de los riesgos y de las obligaciones que genera el uso de los mismos”.

Asimismo, Legal Army indica que “otro de los puntos que mayores quebraderos de cabeza conlleva para la empresa es la situación actual de las transferencias de información personal a Estados Unidos, ya que muchas de las grandes empresas tecnológicas se encuentran en dicho país, incluso aunque tengan divisiones en el Espacio Económico Europeo”.

“La mayor capacidad tecnológica de los servicios de estas empresas, unido a la provisión de unas mayores garantías de seguridad y, en muchas ocasiones, la provisión de grandes abanicos de servicios a un coste menor, implica que la mayor parte de las empresas europeas hayan confiado en estas entidades para prestar servicios esenciales en el desarrollo de su negocio. La consecuencia es que las organizaciones se encuentren actualmente en una situación de desamparo, en la que no ven posible el cumplimiento de sus obligaciones en materia de transferencias internacionales en el corto plazo, sin provocar un daño de difícil reparación a su ecosistema tecnológico y su modelo de negocio”, especifica Legal Army.

Por su parte, la experta de KPMG señala que los asuntos más complejos de resolver en torno al RGPD están asociados a “la definición clara de las actividades de tratamiento, su registro y cómo articular las políticas de actualización necesarias en este ámbito; la implantación efectiva de operativas de privacidad desde el diseño y por defecto; la aplicación de modelos de evaluación de impacto en materia de protección de datos personales y, en general, la previsión de sistemas válidos de evaluación y análisis de los riesgos asociados a las actividades de tratamiento; el control efectivo y trazable de los encargados del tratamiento durante la relación con éstos; los protocolos de supresión y bloqueo de datos en el sentido indicado por la normativa europea y española de datos personales; la legitimación plena de las transferencias internacionales; y el desarrollo de nuevas estrategias de gobernanza de datos que balanceen la protección de datos personales, la libre circulación de éstos y los nuevos modelos legítimos de uso y compartición de los mismos (Estrategia Europea de Datos)”.

Mejor que nuestros vecinos

En cualquier caso, hay que señalar que las compañías españolas se están adaptando muy bien al RGPD, por encima de la media europea. “Nuestras empresas tienen un elevado grado de madurez en protección de datos, superior a la media de las entidades de otros países europeos. Por supuesto, no todas las empresas españolas gozan del mismo grado de madurez, pero, en una comparativa general con otros países, creo que nuestras empresas estarían en la parte alta de la tabla”, asegura Vázquez-Graña.

Igualmente, Brito apunta que “España es un país avanzado en términos de protección de datos personales, en parte, derivado de la ingente actividad, iniciativas y labor desplegada por su autoridad de control, la Agencia Española de Protección de Datos (AEPD)”. No obstante, subraya que “ello no significa que no exista margen de mejora”. “Por ejemplo, en términos de transparencia, mejor determinación y aplicación de las bases legales de tratamiento, seguridad de la información y, en general, en el fomento de una actuación más proactiva en el diseño legal de productos y servicios, sobre todo, en el entorno digital”, desgrana.

En esta misma línea, Legal Army recalca que “las empresas españolas han partido de una posición que podría considerarse más ventajosa para el cumplimiento de las obligaciones en materia de protección de datos, resultado de la aplicación de la antigua LOPD y de la labor realizada por nuestra autoridad de control”.

El bufete explica que ambas son más rigurosas que la media de otros países europeos, “por lo que las empresas están más acostumbradas a mayores requisitos en el uso de los datos personales, así como a tener ya implementadas ciertas medidas técnicas que permitan este cumplimiento”.

Asimismo, el experto de Capgemini resalta que “la AEPD es un referente entre las autoridades de protección de datos y España, desde hace años, se encuentra a la vanguardia europea e internacional en este ámbito”. Además, indica que es una de las más activas “en cuanto al número de inspecciones, requerimientos de información o tutelas de derechos, así como en lo relativo a la publicación de guías, informes jurídicos y recomendaciones, siendo pionera en Europa en muchas ocasiones”.

Pero también en cuanto a su actividad sancionadora.  “Es la autoridad europea que ha impuesto un mayor número de sanciones por incumplimiento del RGPD, con 422 sanciones hasta la fecha. El siguiente país en este ranking es Italia (146), seguido de Rumanía (84) y Alemania (63). En Reino Unido, únicamente se han impuesto 9 sanciones en los últimos 4 años”, precisa. Además, la representante de DigitalES especifica que “con un total de 180 multas en 2021, España acaparó el mayor número de sanciones impuestas por un país, que representan el 43% del total de sanciones impuestas en todo el mundo”.

Las mayores sanciones en España

Pese a su intensa actividad, la AEPD no destaca por la cuantía de las sanciones. El importe total de las multas impuestas en el ejercicio 2021 ascendió hasta los 35 millones de euros. “Si nos fijamos en el importe de las sanciones, las de mayor cuantía se han impuesto en otros países, como Irlanda, Francia, Italia o Alemania. Y por encima de todos ellos, Luxemburgo, donde se ha impuesto la mayor sanción de protección de datos de la historia. La mayor sanción impuesta en España, 10 millones de euros, ocupa el puesto 17º en el ranking de mayores sanciones en Europa hasta la fecha”, detalla el DPO de Capgemini.

Además, especifica que “el importe medio de sanción por incumplimiento del RGPD en España es de 131.564 euros, muy inferior a la de otros países de nuestro entorno, como Francia (10,79 millones de euros) o Reino Unido (5,99 millones de euros)”.

La mayor sanción impuesta desde la entrada en vigor del RGPD correspondió a Google, por más de 10 millones de euros, “por su participación, junto a otras empresas, en el llamado ‘Proyecto Lumen’, un buscador en el que se recogen las reclamaciones dirigidas contra empresas como Google en internet, con motivo del ejercicio de derechos de protección de datos o de propiedad intelectual”, especifica Legal Army.

“Google, con motivo de su participación en este proyecto, enviaba los datos de los usuarios que presentaban alguna reclamación ante la entidad, lo que suponía una cesión de datos a terceros, sin que se informara de esta cesión a los usuarios y sin su consentimiento. Adicionalmente, la AEPD también consideró que esta capacidad de ceder los datos demostraba que no se estaba cumpliendo de forma correcta el derecho al olvido, en tanto en cuanto que los datos no hubiesen podido ser cedidos si hubieran sido borrados como se debía”, aclara el bufete.

Vodafone España es la compañía que acumula mayores sanciones. La mayor, de 8,1 millones de euros, se impuso por varios motivos. Uno de ello fue el tratamiento de datos para acciones comerciales sin el consentimiento de los clientes, como la realización de acciones de mercadotecnia y prospección comercial de llamadas telefónicas y envío de SMS y correos electrónicos. Y también por no eliminar los datos de los destinatarios que se habían opuesto a recibir estas promociones o por dirigirse a personas incluidas en la ‘lista Robinson’.

La segunda de las sanciones a Vodafone, de 3,9 millones de euros, fue por “la realización de un duplicado de tarjeta SIM y su entrega a terceras personas sin autorización del usuario titular de la línea”, puntualiza Legal Army.

La tercera mayor multa impuesta por la AEPD correspondió a Caixabank, “sancionada con 6 millones de euros por una falta de base legitimadora para el tratamiento de los datos del usuario; más concretamente, por carecer de una base válida para la cesión de sus datos a otras entidades del grupo”, precisa el bufete. La entidad también tuvo que afrontar una sanción de 2,1 millones, como heredera de la actividad de la absorbida Bankia, que condicionaba la exención de comisiones bancarias de determinados productos a la obtención del consentimiento para fines distintos a los propios del contrato concertado. Mediante casillas premarcadas, conseguía que los clientes diesen su consentimiento para recibir publicidad por cualquier canal y que sus datos personales se pudieran ceder a otras empresas del grupo.

Otro banco, el BBVA, encajó una multa de 5 millones de euros por dos motivos. Por un lado, por el envío de SMS promocionales sin contar con la autorización de los destinatarios. Y por otro, por no cumplir los requisitos de consentimiento libre e informado, ya que la entidad, a través de su app móvil, requería la prestación de consentimiento a través de un enlace a otra página, en la que aparecía marcada por defecto la opción de cesión de datos a terceros.