El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una normativa europea que obliga a las empresas a adaptarse en materia de recopilación, uso, divulgación, retención y protección de datos personales. Es el motivo de aquel famoso día en el que a todos los ciudadanos se les llenó el correo electrónico con la propia Agencia Española Protección de Datos (AEPD), encargada de velar por su cumplimiento. Las expertas de Helas consultores repasan con elEconomista, los primeros meses de implantación de la normativa. María Martín Pardo de Vera y Paloma Mendo aseguran que las empresas han avanzado mucho en la materia, pero reconocen que todavía queda mucho camino para alcanzar una cultura de cumplimiento en protección de datos en las compañías.
¿Las empresas están cumpliendo ya con las exigencias del Reglamento europeo?
Ahora mismo hay un aparente cumplimiento porque creemos que las empresas se han centrado en cumplir con las cosas de apariencia, aunque todavía falta mucho por hacer. Ahora, es fundamental el asunto de la formación. Nos queda entrar en todos los procesos de revisión y de control periódico de auditoría, que es lo que nos va a permitir saber si todo esto está funcionando o no.
¿Cuentan ya la mayoría con un delegado de protección de datos como exige la normativa?
La mayoría de empresas que están obligadas a tenerlo lo tienen designado. Sin embargo, lo que sí estamos notando es que a día de hoy ningún delegado está haciendo las funciones propias que tienen los delegados. Se está dedicando a implantar, en lugar de realizar su labor de control independiente como exige la normativa. Por ello, sí cumplen en la medida de que los tienen nombrados, pero las funciones que tienen asignadas aún no son las que deberían ser.
Hay un debate muy potente. ¿Es mejor que el delegado de privacidad sea interno o externo?
Depende de los casos. Hay empresas que no se pueden permitir una persona en régimen interno. Por ejemplo, nos estamos encontrando con que los centros educativos tienen muchos problemas, porque allí todos son expertos en docencia, pero no tienen a nadie con esa parte de conocimientos jurídicos en la materia. Las clínicas y los hospitales también tienen estas dificultades.
Parece que ha afectado mucho al nivel de trabajo de las empresas
El trabajo se ha multiplicado. No tiene nada que ver con lo que se exigía antes. Sin embargo, esto lo ha notado más el cliente que nosotros. Siempre hemos diseñado procedimientos que iban en la línea del reglamento.
Todo el mundo recibió un montón de mensajes el 25 de mayo cuando entró en vigor el Reglamento. ¿Era necesario?
Fue una locura. Parecía que se iba a acabar el mundo. Nos encontramos con casos de gente en los que ni si quiera se había planteado si era necesario enviar o no el correo. Nosotros recibimos correos de empresas en los que ya se hacía un correcto tratamiento. No necesitaban un nuevo consentimiento para nada. Con ello, muchas empresas se han cargado el poder usar su base de datos. Todo el mundo se puso nervioso. Algún cliente nos llamó y nos dijo: "Te llamo hoy porque igual mañana no se puede llamar".
A la sombra de la normativa han proliferado muchas empresas que, a coste cero, te realizan la adaptación. ¿Son un peligro?
Ya había muchas antes. Llevamos muchos años enfrentándonos a eso. Lo hemos denunciado a la Agencia Española de Protección de Datos muchísimas veces. Antes no recibíamos respuesta, pero es verdad que desde hace un tiempo nos hacen más caso.
La normativa exige comunicar a la Agencia Española de Protección de Datos ¿Están las empresas haciéndolo ya?
Todavía tienen miedo a comunicar. Se preguntan qué les va a pasar, si les van a abrir una inspección. De momento, quieren esperar a tener las cosas muy bien hechas para cuando llegue el punto de tener que autodenunciarse.
¿La Agencia está poniendo ya sanciones? ¿Son mucho más elevadas que las anteriores?
Tampoco ha habido muchas sanciones nuevas. Desde la Agencia ya habían dicho que tampoco se iban a volver locos con esto. Pero claro, las empresas son reacias a denunciarse todavía. No entienden que muchas veces este procedimiento supone un plus, y que quedan muy bien ante la Agencia. Sin embargo, aún es difícil. Por otra parte, la normativa exige comunicar la brecha de seguridad en 72 horas. Es un plazo que es prácticamente imposible de cumplir.
¿Lo que se pide es un cambio de mentalidad?
Se pide proactividad. El año pasado han sido muy reactivas, pero el Reglamento te pide que seas proactivo. El año 2019 puede ser el de esa proactividad que exige la normativa.
¿Qué es necesario para que se produzca?
La cultura de prevención se consigue con la formación. Antes se le daba mucho valor y ahora se ven obligados a hacerlo de otra forma con todas las exigencias que han tenido que cumplir en muy poco tiempo. Hasta que no se pase la formación no se conseguirá una cultura real de protección de datos. Nosotros, por ejemplo, nunca hacemos un proyecto y nos vamos. Consideramos esta materia integrada dentro del negocio. Tiene que estar presente dentro de todos los procesos empresariales.