Ciberlawyer: el miedo y el RGPD

Ciberlawyer: el miedo y el RGPD

Una de las aficiones del cyberlawyer es la ciencia ficción. Parece obvio, teniendo en cuenta que es un 50% cibernético y lo ciber está muy presente en el género. Uno de sus autores emblemáticos es Orson Scott Card, escritor americano de ciencia ficción, fantasía y terror, que dice que el miedo es la herramienta más potente de los narradores y que hay tres clases de miedo: el horror, el terror y el espanto.

El 25 de mayo de 2019 se cumplió un año de aplicación “plena” del Reglamento General de Protección de Datos (RGPD). Un año convulso en el que convivieron en España, desde mayo hasta diciembre, cuatro regímenes jurídicos distintos. Quizás, esa es la razón por la cual no se impuso en ese ejercicio ninguna sanción económica relativa al incumplimiento del Reglamento.

El espanto inicial que nos produjo la cuantía económica de las sanciones por incumplimiento normativo, se ha tornado en terror cuando hemos ido conociendo las multas impuestas, o incluso se ha quedado en el mero horror al saber que aún hoy hay organizaciones que están en la casilla de salida camino del cumplimiento.

Mayo 2018 y el Espanto

El espanto es el primero y el más intenso de los miedos. Es ese no llegarnos la camisa al cuello, ese compás de espera que se produce cuando sabemos que hay algo que temer, pero aún no hemos identificado de qué se trata. El miedo que sentimos al descubrir que nuestra pareja lleva una hora de retraso; al escuchar un sonido raro en el cuarto de los niños; al darnos cuenta que la ventana, que con toda seguridad habíamos cerrado, está ligeramente abierta; al mirar el suelo de la cocina y ver huellas de barro, lo que nos hace abrir el cajón de los cuchillos y agarrar con mano temblorosa el más grande de todos.

Recordemos que incumplir la normativa más exhaustiva del mundo, relacionada con la protección de datos de carácter personal, se sanciona con multas económicas que pueden ser muy elevadas y que pueden ascender hasta los 20 millones de euros o un 4% de la facturación global anual (la más alta de las dos).

Acordémonos también del caos en el que incurrieron, durante el mes de mayo de 2018, muchas empresas tratando de adaptarse a toda velocidad. El espanto hizo que compañías que tenían legitimación para tratar datos personales, solicitaran una nueva autorización que supuso, en muchos casos, perder el consentimiento que ya tenían.

Y qué decir de la reacción de entidades no europeas como medios de comunicación, compañías publicitarias y videojuegos online, entre otros, que bloquearon el acceso a sus páginas a usuarios europeos, en lugar de adaptarse al RGPD. Consideraron que el riesgo a ser multados era más importante que sus clientes europeos o los ciudadanos estadounidenses que viven o viajan como turistas a Europa y acceden a sus webs.

Ese espanto se materializó al descubrir que éramos una de las empresas incluidas en el 85% de las compañías que no llegaban a tiempo para cumplir con el RGPD; al escuchar que los formularios de nuestra página web pedían más campos de los necesarios; al darnos cuenta que las medidas de seguridad que teníamos adoptadas no eran suficientes y que tendríamos que notificar las brechas a la Agencia en 72 horas; al comprobar que no teníamos aún firmados los nuevos contratos de tratamientos de datos de nuestros clientes; al acudir, de manera precipitada, a una consultora que nos informó que podíamos incluir sus honorarios como formación y así poder utilizar los créditos de FUNDAE.

Los efectos del Terror

Como dice el bueno de Orson, “sólo hay terror cuando vemos aquello que tememos”. El intruso que nos amenaza con un arma o las luces de un kamikaze que se nos echan encima a pesar de que vamos por nuestro carril. El cuerpo sufre una serie de transformaciones, los músculos se tensan y nos quedamos rígidos; o gritamos; o corremos, o… Pero por malo que sea, en este sentido, es mejor que el espanto. Al menos ahora conocemos el rostro de aquello que tememos.

Podemos afirmar que 2018 fue el año de los datos personales y pasará a la historia como el año del cambio de paradigma en la protección de datos y la privacidad. A pesar del tremendo cambio que ha supuesto la normativa, lamentablemente en 2018 hubo importantes casos de brechas de seguridad y exposición de datos de interesados. Por todas partes hemos visto noticias sobre filtraciones, abusos y fugas de datos. En algunos casos fueron brechas provocadas por ciberdelincuentes, mientras que en otros no se trató de un robo de información sino, llamémosle, uso fraudulento de información personal y que, sin señalar a nadie, podrían haber sido utilizados en alguna campaña presidencial.

En Europa, el ganador de la primera sanción por incumplimiento fue una casa de apuestas en Austria a la que se impuso una sanción de 4.800 € por tener una cámara de seguridad que grababa parte de la acera y, además, no informaba adecuadamente de la videovigilancia que realizaba.

En octubre de 2018 nos desayunamos con tres multas que la Agencia de Protección de Datos portuguesa imponía a un hospital, que sumaban 400 mil euros. La inspección comprobó que había 985 médicos que tenían cuentas activas en el sistema que les daba acceso a expedientes médicos, mientras que el hospital tenía sólo 296 médicos activos.

Llamativa, por lo reducido del importe y a pesar del volumen de la filtración, fue la sanción impuesta a una red social alemana: 20.000 euros. La mejora inmediata de las medidas de seguridad impactó positivamente en el importe de la multa, aún con la publicación de unas 808 mil direcciones de correo y más de 1,8 millones de usuarios y contraseñas.

A comienzos de 2019, la Agencia de Polonia impuso su primera sanción por infracción del deber de información por un importe de 220.000 euros. La empresa multada trataba datos personales obtenidos a través de fuentes públicas para fines comerciales.

Comparadas con los importes máximos previstos por el RGPD, estas sanciones son bastante comedidas.

Pero, entró en juego el chovinismo y la entidad reguladora francesa (CNIL) impuso al inicio de 2019 a Google la multa más elevada que se ha conocido hasta la fecha por infracción del RGPD: 50 millones de euros. La razón, una brecha continuada que afectó a una gran cantidad de usuarios y de datos. Cabe preguntarse, si Google opera igual en toda Europa, por qué Francia es el único país que recauda de momento por este asunto, y por qué no se aplicó el principio de “ventanilla única” e Irlanda, sede principal en Europa, tomó el liderazgo. Y, finalmente, un dato impactante para poner en contexto: en caso de aplicar el 4% de sanción sobre el volumen global de facturación de Google el importe ascendería a 4.000 millones de euros.

Si pasamos a España, tras casi un año desde la entrada en vigor del RGPD, en abril de 2019 la AEPD ha publicado dos resoluciones con las primeras multas por infracción del RGPD, ambas a Vodafone. La cuantía total alcanzada, una vez aplicada la reducción por pronto pago y el reconocimiento de responsabilidad, fue de 32 mil euros.

El mal ha dado la cara, conocemos su forma, sus dimensiones y no nos ha paralizado completamente. El sudor frío ha desaparecido y comenzamos a respirar lenta y pausadamente, ahora sabemos qué podemos esperar si demostramos nuestra falta de intención o negligencia en la infracción.

Y ahora, ¿convivimos con el horror?

El horror es el más débil de todos en la escala del autor de El juego de Ender. Una vez que ha ocurrido lo que temíamos vemos sus huellas. La víctima yace lívida y despedazada. Con la reiteración, el horror pierde su capacidad para perturbarnos, deshumaniza a la víctima y, por lo tanto, nos deshumaniza a nosotros mismos.

Si nos damos una vuelta por las webs más visitadas de España, las políticas de privacidad que contienen son, en muchos casos, abusivas: incumplen, por ejemplo, con la obligación de permitir al usuario rechazar las cookies con la misma simplicidad con que se aceptan. Además, no actúan de manera transparente y la información básica que proporcionan incumple la norma.

Desde el punto de vista del usuario (y todos lo somos) tenemos la sensación de que nuestros datos son recopilados, tratados y distribuidos sin nuestro consentimiento y, en muchos casos, sin nuestro conocimiento. Empezamos a relajarnos en nuestras exigencias a Internet y volvemos al “acepto” sin haber ciberojeado tan siquiera las políticas.

Y qué decir de las administraciones públicas a las que les está costando adaptarse a este nuevo, o no tan nuevo ya, marco normativo. Siendo algunas de las organizaciones que más datos tratan (muchos de ellos de carácter especialmente sensible), no parece hoy que el grado de cumplimiento sea alto. El régimen asimétrico de responsabilidades públicas y privadas, donde las primeras no son objeto de sanción o apertura de expediente, llamémosle disciplinario, no ayuda a la aplicación efectiva de la norma. Al cumplimiento de RGPD por parte de las AAPP podría ocurrirle lo mismo que al Esquema Nacional de Seguridad (ENS) que pronto cumplirá su décimo aniversario. Será entonces un buen momento para hacer un balance sobre su adopción, aunque mucho nos tememos que el porcentaje de implementación dejará mucho que desear.

El RGPD nos aportó un importante principio, el término anglosajón accountability, versionado al castellano como responsabilidad proactiva: cumplimiento normativo y capacidad de demostrarlo. La sensación un año después, es que se ha traducido mal el palabro y, por lo tanto, no ha calado el concepto. Los responsables de los tratamientos no han entendido que este principio es un proceso de mejora continuo que no acaba nunca, como dice la Agencia Española de Protección de Datos (AEPD) “no incumplir ya no será suficiente”.

Recientemente, la AEPD ha publicado su memoria y los vestigios del horror ya tienen cifras. Centrándonos tan solo en datos desde la aplicación del RGPD (25 de mayo 2018 al 15 de mayo de 2019) se constata un incremento importante de las reclamaciones recibidas, alcanzando 14.937; la confidencialidad de los datos personales y la disponibilidad han sido las principales causas de las 966 notificaciones de brechas de seguridad; ya hay más de treinta y cuatro mil Delegados de Protección de Datos y se pone de relieve el retraso de las AAPP con solo 4.285 nombramientos de los más de diecinueve mil organismos del sector público existentes. Comparando años naturales, 2018 vs. 2017, sorprende la reducción de la cifra de recaudación vía sanciones, con una disminución del 24% respecto al año anterior.

Reflexiones del “CyberLawyer”

Si bien un año probablemente sea pronto para certificar que se han alcanzado los objetivos que el RGPD pretende, no debería ocurrir lo que sucedió con la Ley Orgánica de Protección de Datos (LOPD). Según INTECO (hoy INCIBE), en su décimo cumpleaños, allá por 2010, solo el 14% de las pymes españolas declaraba conocer la normativa.

No cree el cyberlawyer que haya que imponer multas siempre y que estas deban ser las más elevadas, pero el régimen sancionador es clave para que el sistema cale en el tejido empresarial y funcione correctamente. Ante el temor a una sanción, todas las empresas deben ser disciplinadas y garantizar la protección de datos de sus clientes, empleados y demás interesados.

En cualquier caso, el cyberlawyer es partidario de que la privacidad y la protección de datos impregne la cultura empresarial y, sobre todo, se ponga en valor en los negocios. Las organizaciones no pueden permitirse el lujo de perder la confianza de sus clientes como consecuencia de la pérdida de reputación, es más, deben sacar pecho del cumplimiento de esta importante regulación.

En un año volveremos a comentarlo, mientras tanto el cyberlawyer estará preocupado por el impacto que el 5G supondrá para la ciberseguridad, las implicaciones de la inteligencia artificial compleja -capaz de imitar el funcionamiento del cerebro- y cómo todo esto se desenvolverá en un entorno respetuoso con el Derecho.

Santiago Arellano

Marketing de producto y desarrollo de servicios en Secure&IT

 

Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados