El pasado 30 de mayo, LAE Consulting colaboró en una entrevista con la Universidad Oberta de Catalunya. La finalidad era reflexionar sobre la importancia de la protección de datos y analizar su evolución en las PYMES.

Buenos días. Gracias a vosotros por dar altavoz a una normativa en auge y que considero va a ser fundamental en los próximos años y generaciones. Es un placer compartir con los estudiantes universitarios mi experiencia.

En primer lugar, recordar que el Reglamento General de Protección de Datos aprobado por Europa en 2016 no es sino un desarrollo de las distintas normativas que en los Estados Miembro se desarrollaron.

La privacidad y los datos de los particulares habían generado distintas normativas y Europa, al ver que las empresas tratan cada vez más datos, sobre todo a partir de las TIC, quiso desarrollar un marco general, unas reglas del juego para todos por igual.

El Reglamento vela por los derechos de las personas físicas y por sus datos personales, proporcionando un mayor control sobre sus datos. Los cambios que han tenido que afrontar los sujetos obligados han sido muy sustanciales.

A partir del 25 de Mayo de 2018 con la entrada en vigor hubo una serie de novedades tales como la creación de la figura del Delegado de Protección de Datos (DPO), el análisis de riesgo de las operaciones de tratamiento, el aumento de las sanciones, las evaluaciones del impacto y el desarrollo de un registro de actividades.

El RGPD supuso un antes y un después para la gran mayoría del entramado empresarial. Había mucha información en el mercado e incluso los días previos a la entrada en vigor del Reglamento hubo una importante campaña de sensibilización en televisión y radio.

Básicamente las PYMES debieron interiorizar que la privacidad de los datos tiene cada día mayor trascendencia. Con la normativa anterior, la LOPD de 1999, existía un consentimiento tácito por parte del individuo cuando se convertía en cliente o usuario de una página web. Una barra libre peligrosa, que las empresas aprovecharon para hacer un uso indiscriminado de los datos de los que disponían. Esto, en mi opinión, fue el punto de inflexión para que Europa obligase a poner unos procedimientos de calidad, para que las empresas desarrollasen medidas internas y procesos informativos para tratar los datos de forma proporcional y autorizada.

El consentimiento explícito del interesado fue la principal novedad y el foco sobre el cual se desarrollaron la gran mayoría de los cambios. Ya no es válido el consentimiento tácito, sino que las empresas necesitan una acción positiva, un consentimiento explícito, por parte del interesado, ya sea cliente, usuario de una página web o empleado.

Además de esto se desarrollaron una serie de medidas internas, técnicas y organizativas, para que las empresas trabajen con mayor seguridad informática en el tratamiento de datos.

Correcto. El RGPD fue de obligado cumplimiento, como hemos dicho, a partir del 25 de mayo de 2018, si bien su desarrollo y aceptación es de mayo de 2016.  Por tanto, los sujetos obligados han tenido estos dos años para implementarlo y cumplir con las obligaciones. Como siempre, y como podréis imaginar, las empresas esperaron hasta el último minuto para implantarlo y muchas siguen sin hacerlo. En algunos casos por falta de información o por falta de recursos humanos y económicos. Seguimos trabajando para sensibilizar a las empresas en la importancia de cumplir este nuevo reglamento. Acaba de cumplirse un año de la entrada en vigor del Reglamento, y aunque el balance es positivo, seguimos viendo muchas empresas que no cumplen con los nuevos criterios y aún tienen mucho que trabajar en esta materia.

En el caso de muchas PYMEs el problema está en el desconocimiento y, por desgracia, en la falta de sensibilidad con respecto de la privacidad. El mercado de la protección de datos, si bien ha crecido mucho en los últimos años, es incipiente. Date cuenta que es una normativa con apenas 20 años de convivencia, y que hemos sufrido una importante crisis económica. Esta crisis, unida a que el empresario no termina de dar importancia a cómo debe trabajar con los datos, hace que el porcentaje de empresas que cumplen el RGPD sea todavía limitado. Pero seguro que crecerá en los próximos años.

El DPO es un profesional con alta cualificación, que se encarga del asesoramiento, supervisión e implantación de una serie de medidas técnicas y organizativas para que sus clientes cumplan con el RGPD.  Es importante matizar que el DPO no es el encargado de ejecutar todas las medidas en la empresa, sino el responsable de diagnosticar los riesgos de cada empresa y establecer aquellas medidas correctoras para que su cliente no infrinja la normativa y establezca los procedimientos necesarios.

Como DPO mi trabajo consiste en identificar estos riesgos a base de tener un contacto continuo con la alta dirección de la empresa para contribuir en su adaptación. Requiere un tiempo significativo de análisis de todos los procesos internos de la empresa y una entrevista profunda con los trabajadores de la empresa, para identificar su forma de trabajar y poder valorar aquellos cambios que requiera el día a día.

En este punto es importante analizar lo que dice el RGPD en su artículo 37. Hay 3 casos en que sí es obligatorio: cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando las actividades principales consistan en operaciones que requieran seguimiento regular y sistemático del interesado a gran escala y cuando las actividades principales consistan en tratamientos a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Al mismo tiempo es importante verificar el artículo 34 de la normativa nacional, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales, que ha matizado e incluido de forma explícita algunos sectores de actividad que también tienen que nombrar un DPO. Entre estos sectores se encuentran los sectores sanitarios, educación, asesores fiscales y contables, etc.

De todas formas, aunque no todas las empresas deben nombrar un DPO, sí es importante que todas tengan un asesor que les ayude en la implementación de la normativa. Soy consciente de que no todas las empresas pueden nombrar oficialmente un DPO, porque los recursos económicos son limitados, pero tener un asesor que les oriente a implementar la ley de protección de datos no es a día de hoy tan costoso. Depende normalmente de las horas y dedicación que cada empresa requiere del asesor.

Efectivamente. En diciembre de 2018 España aprobó su nueva Ley Orgánica de Protección de Datos, sustituyendo a la antigua de 1999. Su misión es la de concretar y desarrollar algunos apartados del RGPD.

Las cantidades económicas de las sanciones pueden ser mucho mayores que con la normativa anterior. Aún así, no se pretende que todas las medidas correctivas terminen en una sanción económica y en algunos casos puede terminar con una advertencia que permita la corrección del error. Evidentemente depende de la gravedad de cada caso, ya que también se valoran las conductas diligentes.

Te doy un dato, el año pasado hubo más de 14.000 denuncia ante la Agencia Española de Protección de Datos, un incremento del 33% sobre el ejercicio 2017. Un ejemplo claro de que la sociedad y quienes la componemos damos cada vez más importancia a nuestros datos, a lo que las empresas hacen con ellos. Creo que es un buen punto de partida para que este sector se profesionalice aún más y una rama del Derecho que, a buen seguro, tendrá un excelente futuro profesional y gran salida para quienes estudiáis en la Universidad.

Gracias a vosotros.