Especial protección de datos: el RGPD ha llegado. ¿Y ahora qué?

Especial protección de datos: el RGPD ha llegado. ¿Y ahora qué?

Casi un 70% de los españoles asegura que ha recibido mensajes publicitarios de empresas, a través del teléfono o email, sin haber facilitado sus datos personales a estas organizaciones. Es una información del barómetro del Centro de Investigaciones Sociológicas (CIS) del pasado mes de mayo, que también revela que los principales temores a la hora de ceder los datos personales son: que puedan ser utilizados para enviar información comercial, que sean usados sin consentimiento o ser víctimas de un fraude.

Las denuncias de ciudadanos ante la Agencia Española de Protección de Datos (AEPD) relacionadas con el tratamiento de información personal en Internet también han aumentado considerablemente (casi un 40 % en los últimos dos años). Es un tema que preocupa a los ciudadanos y la mitad de ellos asegura que está poco o nada informado sobre el asunto.

A pesar de eso, parece que en el ámbito empresarial la tendencia es otra. A falta de encuestas que arrojen más resultados, el adjunto al director de la Agencia Española de Protección de Datos, Jesús Rubí Navarrete, asegura: “Tras las múltiples y muy variadas reuniones que hemos mantenido en todo tipo de foros, podemos decir que hay una gran sensibilización con la aplicación de esta norma. Yo llevo 20 años en la Agencia y diría que la sensibilización que ha habido con esta normativa no es comparable con ninguna otra anterior”. Pero, apunta que, aunque hay una mayor predisposición al cumplimiento, no se ha aprovechado adecuadamente el periodo de dos años desde que entró en vigor el Reglamento General de Protección de Datos (RGPD).

jornada ciberseguridad

Cumplir con el RGPD, una de las grandes preocupaciones de las empresas

Es la confirmación de que una de las grandes preocupaciones de las empresas y organizaciones en este año es cumplir con el RGPD, de aplicación desde el 25 de mayo. Por este motivo, dedicamos la cuarta edición de nuestra Jornada de Ciberseguridad al reglamento. El evento fue inaugurado por José Amérigo Alonso, Secretario General Técnico del Ministerio de Justicia, que habló del papel del legislador nacional y del proyecto de la nueva Ley Orgánica de Protección de Datos.

A la Secretaría General Técnica del Ministerio de Justicia le ha correspondido el impulso del este proyecto y, en este sentido, Amérigo apuntaba: “El papel del legislador nacional tenía que ser importante en dos planos: la depuración del ordenamiento jurídico (para eliminar incompatibilidades) y ver de qué opciones, de las que deja el RGPD a los Estados miembros, hacía uso España”.

El Secretario General Técnico del Ministerio de Justicia también hizo un guiño a Leonardo Da Vinci para destacar que, en este momento de evolución continua en la tecnología, no podemos hablar de una época de cambios, sino de un cambio de época: “El contexto en el que se aprobó la anterior norma europea y el actual no tienen nada que ver. La anterior es de 1995, un momento en el que se hablaba de entre 20.000 y 40.000 ordenadores conectados; nada que ver con el momento actual en el que hay más dispositivos conectados que ciudadanos. La importancia que ha adquirido el dato en la actual economía pone de manifiesto que nos encontramos más que en una época de cambios, en un cambio de época.

En esta línea intervino también Sonia Martín, directora de Servicios Profesionales de Seguridad de Secure&IT, que centró su ponencia en los cambios en la regulación de protección de datos: “El legislador se ha dado cuenta de que está por detrás. Había una serie de normas muy divergentes y, además, la tecnología en 1995 (fecha de la directiva que teníamos) no estaba tan desarrollada. Por eso, necesitábamos una nueva regulación. Además, debe ser lo más homogénea posible a nivel internacional. Esta parte es la más difícil, porque intentar regular Internet con la protección de datos a nivel mundial es muy complicado”.

Una de las principales novedades del RGPD, de estilo más anglosajón, es que las empresas y organizaciones deben evaluar sus riesgos y, de acuerdo con el principio de responsabilidad activa, diseñar las medidas a aplicar en función de esos riesgos. En este escenario, destaca la figura del Delegado de Protección de Datos (puede ser interno o externo) cuyas funciones deben desarrollarse en el ámbito del asesoramiento, la supervisión y la cooperación con las autoridades de protección de datos.

Con el RGPD, las medidas de seguridad deberán confeccionarse con el objetivo de corregir aquello que se detecte en el análisis de riesgos, y tienen que ser aplicadas por el responsable antes de iniciar el tratamiento. Francisco Valencia, director general de Secure&IT, se muestra positivo en este sentido y considera que, aunque parece demasiado podemos conseguirlo marcándonos una lista de tareas con las medidas técnicas (cifrado, controles de acceso, back ups, etc.), organizativas (políticas corporativas, procedimientos internos, etc.) y legales de cumplimiento.

Uno de los momentos más esperados es la aprobación del proyecto de Ley Orgánica de Protección de Datos, al que se presentaron 369 enmiendas, y que se encuentra en el proceso de tramitación parlamentaria. Aunque instituciones y empresas tiene mucho interés en que se apruebe cuanto antes, es difícil hacer previsiones con los plazos. Esta ley complementa algunos aspectos del reglamento y aclara otros, por tanto, será necesario manejar las dos normativas (LOPD y RGPD) al mismo tiempo. Por este motivo, se ha buscado una estructura pareja para que se puedan leer ambas normas de forma simultánea.

El régimen sancionador

laboratorios jornada ciberseguridad SecureITEste es uno de los aspectos que más preocupa a las compañías porque el RGPD endurece las sanciones considerablemente. Las más bajas serán de 10 millones de euros o el 2 por ciento del volumen negocio total anual del ejercicio financiero anterior (la cifra que sea de mayor cuantía). Por su parte, las más elevadas ascenderán a 20 millones de euros o el 4 por ciento del volumen de negocio total anual de ejercicio financiero anterior (también la que sea de mayor cuantía entre las dos).

En este sentido, desde la AEPD apuntan que, aunque las sanciones previstas por el Reglamento pueden ser de cuantías muy superiores a las de la anterior LOPD, el modelo actual es más flexible y proactivo, y no está tan focalizado en las sanciones. Por tanto, en algunos casos permitirá corregir posibles errores o incumplimientos sin necesidad de imponer una sanción económica. Ahora bien, en cualquier caso, apuntan que será necesario que las empresas sean diligentes y que puedan demostrar esa diligencia; de no ser así, estarán más cerca de ser sancionadas económicamente.

Teresa Granda, Letrada del Consejo General de la Abogacía Española fue la encargada de recoger el mensaje más importante de cada intervención y poner las conclusiones a la primera parte del evento.

También participaron en la jornada Rubén Aparicio, Regional account manager de la empresa Fortinet; Juan Jesús Merino, National Channel Country manager, de Bitdefender; Óscar Maire-Richard, Prot-On founder & Product manager; Carlos Ferro, Regional director, Southern Europe, Middle East & Africa de la empresa Thycotic; Blanca Pedrera, responsable de Proyectos Digitales y Bases de Datos, del Grupo Corporativo Consejo General de Enfermería, que intervino en la mesa redonda Impacto de GDPR sobre la actividad económica de las empresas, junto con José Andrés Jiménez, asesor facultativo TIC del Congreso de los Diputados.

Por primera vez, la jornada se dividió en dos partes. La tarde, que fue inaugurada por Ángel Pablo Avilés “Angelucho”, se destinó a la realización de varios talleres, en los que los participantes pudieron comprobar, de forma práctica, cómo las tecnologías pueden ayudar a las empresas y organizaciones en el cumplimiento del Reglamento de Protección de Datos.

 

Comments

Comentarios desactivados