La adopción de la nueva privacidad va con retraso

19/06/2017 - 11:57
  • La Agencia de Protección de Datos muestra su preocupación
  • Muchas empresas aún no han comenzado a implementar las exigencias
Foto: Archivo

No es en absoluto exagerado afirmar que, a pesar de que aún queda algo menos de un año para su plena aplicación, la adaptación al Reglamento General de Protección de Datos (RGDP) ha entrado en su cuenta atrás. Las exigencias técnicas y organizativas que introduce no pueden implementarse de un día para otro y, a partir del 25 de mayo de 2018, los incumplimientos se penalizarán de acuerdo al nuevo régimen de sanciones -que pueden alcanzar los 20 millones de euros o el 4 por ciento del volumen del negocio anual-.

Consulte aquí Buen Gobierno y RSC, la revista digital de buenas prácticas de elEconomista

"Estoy preocupada porque muchas empresas no han empezado a adaptarse al Reglamento. Las evaluaciones de impacto, por ejemplo, requieren muchos meses. Y si hablamos de las Administraciones, la situación no es mucho mejor", expresó Mar España, directora de la Agencia Española de Protección de Datos (AEPD) en el V Congreso de la Asociación de Profesionales de la Privacidad (APEP), celebrado en Madrid los días 8 y 9 de junio, "el tiempo empieza a jugar en nuestra contra".

Los datos refuerzan la impresión de la directora de la AEPD. La espada de Damocles de una sanción millonaria no parece haber empujado aún a las empresas a implicarse a fondo en la adopción de la nueva privacidad.

Así, según se desprende de una encuesta elaborada por NetApp entre 750 CEO y responsables y directores tecnológicos europeos, solo el 35 por ciento de las compañías está completamente adaptada a las nuevas exigencias del RGPD. Del resto, algo menos de mitad dice estar trabajando en ello pero aún sin haber completado las tareas; el 14 por ciento responde que aún no ha iniciado ningún cambio y el 2 por ciento manifiesta no saber ni siquiera qué tener que hacer.

Por otra parte, solo uno de cada cuatro consultados manifiesta no estar en absoluto preocupado por llegar a tiempo a mayo de 2018. De entre los demás, casi el 70 por ciento, sí reconoce algún grado de preocupación.

Sólo una de cada cinco empresas ha contratado un DPO

Esta intranquilidad, no obstante, no parece suficiente para que las empresas apuesten decididamente por reforzar sus departamentos de privacidad. En este sentido, solo el 21 por ciento de las compañías manifiesta tener contratado a un experto en protección de datos, y menos de la mitad -el 37 por ciento- ha incrementado los recursos invertidos para poder cumplir en tiempo y forma con el RGPD.

El barómetro, además, pone de manifiesto un importante grado de desconocimiento en relación con algunos aspectos de la norma. De este modo, solo el 15 por ciento de los encuestados asevera conocer completamente el contenido del Reglamento, mientras que más de la mitad responde que conoce "poco" o "nada" el contenido del texto.

Algunas empresas ya están comunicando a la AEPD la designación de su delegado de protección de datos -DPO, por sus siglas en inglés-. "Otras nos están enviando los datos de su responsable de seguridad, pero estamos hablando de funciones distintas", reveló España. Otra circunstancia que evidencia cierta desorientación en la aplicación del Reglamento General de Protección de Datos.

Mejor un acuerdo que una multa

Consciente de que la implementación del Reglamento no será sencilla, ni siquiera par las compañías que se apliquen con la máxima diligencia, la Agencia de Protección de Datos incide en que se priorizará la búsqueda de acuerdos y soluciones sobre la imposición de sanciones. Y en esta línea se está redactando la nueva Ley Orgánica, cuyo primer borrador, si se cumplen -esta vez sí- las previsiones, verá la luz en las próximas semanas.

Además, la AEPD quiere que, con la nueva regulación, los DPO y los profesionales de privacidad tengan un papel protagonista, lo que debe contribuir a rebajar el número de reclamaciones y procedimientos ante la Agencia y, en consecuencia, las sanciones.

"Preferimos resolver los conflictos con negociación y logrando que la empresa adopte una buena cultura de privacidad, y para hay que contar con un buen DPO", manifestó España, que avanzó que antes de verano estará listo el mecanismo de certificación de los delegados. El certificado no será obligatorio para ejercer esta profesión, pero sí será un elemento clave para acreditar los conocimientos y las habilidades necesarias para garantizar una buena política de privacidad.

La directora de la AEPD también anunció que en las próximas semanas se publicará un listado orientativo de tratamientos que tendrán la consideración de alto y de bajo riesgo. Después del verano, por su parte, se implementará un canal especializado de consultas para los profesionales.

"Blindarse" ante los riesgos

Ante el nuevo paradigma en materia de privacidad que entra en vigor en mayo del año que viene, con el que se pasa del listado de obligaciones a la autoresponsabilidad, los expertos recomiendan ?blindarse? ante los riesgos y, en consecuencia, ante las posibles sanciones. El responsable del tratamiento debe realizar un análisis exhaustivo del tipo de datos y los procesos que lleva a cabo para adoptar unas medidas de seguridad adecuadas a los mismos. "Debe partirse de la base de que tengo que hacer siempre una evaluación de impacto -que en realidad sólo es necesaria cuando hay una probabilidad de alto riesgo para los derechos y libertades de los interesados- y, si no la hago, lo voy a justificar. Es muy importante blindarse ante posibles situaciones de riesgo", recomienda Joaquín Castillón, de EY.

En el desarrollo de las medidas de seguridad y los procedimientos, desde EY reclaman mayor atención en la determinación de la autoridad supervisora principal -cuando el tratamiento es transfronterizo-. "En algunos proyectos nos hemos guiado por lo que decía la AEPD y después hemos tenido que rehacerlo porque la autoridad principal era la francesa", explica Rodrigo González Ruiz, del Departamento de Mercantil de la firma.

Otro de los elementos que más polémica están generando es el consentimiento. González Ruiz subraya que a partir de mayo de 2018 todos los consentimientos tácitos o que no se hayan obtenido conforme a lo dispuesto en el Reglamento no serán válidos. "¿Qué podemos hacer si queremos que lo sean? Arriesgarnos a que exista forzadamente un interés legítimo", asevera.


PUBLICIDAD


Contenido patrocinado

Otras noticias


Comentarios 0






El flash: toda la última hora


La herramienta para el ahorrador en Bolsa

¡Regístrese y pruébelo GRATIS!


Boletines


Todos los boletines



Prima de Riesgo
País Precio Puntos %
ESP 110,82 -1,23 -1,10%
FRA 32,32 -0,77 -2,33%
ITA 133,96 -2,25 -1,65%
GRE 417,93 -4,65 -1,10%
POR 147,89 -2,39 -1,59%

Ecotrader



Evasión

¿Cómo serán los hoteles en 2018?

¿Cómo serán los hoteles en 2018?



Copyright 2006-2016, Editorial Ecoprensa, S.A. | Política de Privacidad | Aviso Legal | Política de cookies | Cloud Hosting en Acens