Nuestro joven Reglamento General de Protección de Datos cumple su primer año de vida y toca hacer balance de lo sucedido durante este año.
1.- La tormenta RGPD
Todos recordamos (quizá necesitemos terapia para olvidar) el Panic Mode que se activó en medio mundo por este terremoto regulatorio que prometía una autentica sangría de sanciones:
- Millones de emails (sin exagerar) pidiendo nuevos consentimientos (en su mayoría innecesarios… al menos para cumplir con el RGPD).
- Ponencias, mesas redondas y congresos para intentar arrojar algo de luz sobre las grandes dudas de la norma.
- Cursos de formación a todos los niveles para entender los problemas derivados de la nueva norma.
- Histeria colectiva para conseguir nuevos contratos y políticas de privacidad adaptadas al RGPD como si se tratase de una subasta al mejor postor.
- Miles de consultas sobre las grandes incógnitas que planteaba el RGPD.
El miedo a las multas de 20 millones (o 4% de la cifra de negocios) hizo que todos nos pusiéramos a trabajar mucho y de forma muy intensa para llegar al 25 de mayo con la casa limpia y recogida, pero esto nunca fue un sprint.
2.- La calma después de la tempestad
Pero el 25 de mayo llegó y no apareció ninguna bestia con 7 cabezas, ni sonaron las 7 trompetas del juicio final.
Las autoridades de protección de datos han estado más centradas en intentar entender e interpretar la norma para ofrecer un mínimo de seguridad jurídica (lo cual se agradece, aunque todavía queda mucho por hacen en este sentido). De hecho, durante este año, las sanciones en toda Europa han sido casi anecdóticas, con importantes excepciones:
- Francia: 50 millones de euros para Google.
- Portugal: 400.000 euros para un hospital.
- Polonia: 220.000 euros para una empresa de marketing.
- En España hasta el momento no hay constancia de ninguna sanción de gran cuantía, aunque se ha publicado en prensa que la AEPD ha propuesto sendas sanciones de 150.000 euros a 2 miembros de “La Manada” por grabar y difundir vídeos de su víctima.
Se hicieron los deberes como mejor se pudo, ya no tenemos el miedo a una sanción inminente por no cumplir y ahora estamos en disposición de asentar el cumplimiento de la norma, pensando y planificando los siguientes pasos.
3.- Mejora constante
Como decíamos más arriba, esto nunca fue un sprint. El cumplimiento normativo en general y el de la protección de datos en particular, es una carrera de fondo todoterreno con obstáculos y relevos que va a durar el resto de nuestras vidas.
Por eso es necesario dosificar las fuerzas, ordenar las tareas y entrar en un ciclo de revisión y mejora constante, sin prisa pero sin pausa, que es lo que nos permitirá sobrevivir a este reto.
En esta línea, debemos hacer frente a procesos de mantenimiento constantes para poder garantizar el cumplimiento de la protección de datos; o de lo contrario, todos los esfuerzos del 2018 habrán sido en vano. Responsables y Encargados del tratamiento deberán:
- Formar y concienciar a sus equipos para notificar internamente nuevos tratamientos con tiempo suficiente para que se pueda mantener el registro de actividades de tratamiento, detectar a necesidad de hacer una evaluación de impacto para la privacidad (PIA), valorar las opciones disponibles para garantizar la privacidad por defecto y desde el diseño, valorar la base jurídica que legitima cada finalidad, definir la cláusula informativa correspondiente y proponer la mejor forma de recoger los datos y, en su caso, los consentimientos necesarios.
- Formar y concienciar a sus equipos para comunicar internamente cualquier fallo de seguridad de forma inmediata para que se valore la necesidad de informar a la AEPD y, en su caso, a los interesados.
- Valorar la necesidad de designar un Delegado de Protección de Datos (DPO), tanto para los casos en los que sea obligatorio según la LOPD 3/2018 o el RGPD, como para los casos en los que sea conveniente para reducir el nivel de riesgo para la privacidad.
- Analizar periódicamente los riesgos de seguridad a los que están expuestos los sistemas y soportes de información para valorar si las medidas de seguridad adoptadas siguen siendo adecuadas a dichos riesgos.
- Establecer un programa de auditorías periódicas para confirmar la correcta implantación de las medidas adoptadas para hacer frente al RGPD y detectar posibles desviaciones, definiendo qué tratamientos se auditarán, cada cuánto y qué controles de la norma serán objeto de auditoría.
- Y, en general, planificar las tareas, ejecutarlas, verificarlas y actuar en consecuencia para lograr una mejora constante.
4.- ¿Qué cabe esperar para el próximo año?
Esto no acaba aquí. Para los próximos 12 meses, se esperan muchas y variadas novedades en el terreno de la privacidad. Por ejemplo:
- Que las autoridades de protección de datos sigan elaborando guías y documentación que ayude a ganar en seguridad jurídica (p.e. una nueva guía de cookies por parte de la AEPD).
- Que se fomente la creación de sellos y códigos de buenas prácticas en protección de datos para sectores o empresas.
- Que la Comisión Europea tome la Decisión de actualizar sus cláusulas contractuales tipo para establecer las garantías adecuadas por parte de importadores de datos en caso de transferencias fuera de la UE.
- Que se estandarice un catálogo de iconos gráficos para facilitar la información a los interesados sobre el tratamiento de sus datos personales.
- Que el Gobierno español apruebe un Reglamento que clarifique y amplíe algunos detalles de la LOPD y del RGPD.
- Que el Parlamento Europeo termine de homogeneizar la normativa de e-Privacy (en España, la LSSI) con el RGPD.
En pocas palabras: Nos guste o no, tenemos protección de datos para rato.
José Carlos Moratilla
Áudea Seguridad de la Información