Mar España, directora de la Agencia Española de Protección de Datos (AEPD), alertó este miércoles de una proliferación de empresas que prestan asesoramiento en materia de Protección de Datos sin cumplir con los estándares que exigen la normativa y la propia Agencia. "Soy consciente de que es un nicho de negocio y ahora mismo hay muchísimas entidades, tanto universidades como consultorías, que están ofreciendo los servicios de asesoramiento", apuntó. "Aquí no vale cualquiera", apostilló.
"Estos servicios no van a servir de nada al empresario. Se le está estafando", aseveró. "Me gustaría que se cortara la práctica de algunas empresas llamadas de A coste cero, que a través de una simple auditoría telefónica, o que un empresario firme un curso de formación o una auditoría de protección de datos, certifican". Además, sentenció que "si tengo conocimiento de ello voy a utilizar todos los medios contra ello. Lo transmitiré a la Agencia Tributaria si es necesario, para que se actúe en ese tema", añadió.
Pese al retraso en la empresas ante la implantación de la nueva protección de datos, España aseguró que "no va a haber moratoria en la aplicación de la normativa. En el momento en que la Agencia reciba una notificación si la empresa no se ha puesto al día en sus nuevas obligaciones y lo ha dejado para el último momento lo va a tener muy complicado", manifestó.
A un mes de la entrada en vigor del nuevo Reglamento europeo de Protección de Datos, elEconomista celebró este miércoles una jornada empresarial sobre su impacto, en la que se reunieron varios expertos en la materia con el fin de clarificar todas las novedades que encarna la nueva normativa directamente vinculante a todos los Estados europeos a partir del 25 de mayo. El evento fue presentado por Amador G. Ayora, director de elEconomista, y patrocinado por el Ilustre Colegio de Gestores Administrativos de Madrid.
Mar España, durante su intervención, manifestó que, ahora, "el 97% de las 10.000 denuncias que se tramitan son reactivas, es decir, es el ciudadano, cliente o empleado quien acude a la AEPD". Sin embargo, recordó que la nueva normativa, aplicable desde el próximo 25 de mayo, "supone un cambio radical en esta materia y establece un régimen preventivo y proactivo por parte de la empresa".
Ante el sprint final de las empresas para adaptarse al nuevo reglamento, Mar España aseguró que el régimen cambia radicalmente, se establece un modelo preventivo, ya que "las empresas o las administraciones públicas antes de tratar los datos deben haber aplicado todas la medidas técnicas, organizativas, y de seguridad correspondientes".
España explicó que la Agencia será flexible y actuará "con sentido común pero dentro del marco normativo" los primeros meses de aplicación del Reglamento. En cualquier caso, la directora de la Agencia apuntó que el organismo estudiará las medidas tomadas por las empresas. "Lo fundamental va a ser que el empresario pueda demostrar una proactividad para proteger los datos", aseveró.
Respecto a la hoja de ruta que aconseja seguir en el sector privado, lo primero que aconsejó la directora de la AEPD es "saber qué datos está tratando, para qué finalidad, con qué legitimidad, a quién va a transferir esos datos, de qué fuente los ha obtenido y durante cuánto tiempo los va a conservar".
Además, dado que el Reglamento establece un mayor control de los derechos de los ciudadanos, Mar España confesó que "que tenemos la suerte de vivir en el país y en el continente más proteccionista desde ese punto de vista, y hablar de protección de datos es hablar de las garantías de un Estado de derecho y un Estado democrático".
Sobre el último escándalo de fuga de datos protagonizado por Facebook, Mar España aprovechó para mostrar la importancia de preservar la privacidad de los datos personales: "el triste y famoso caso de Cambridge Analytica es un magnífico ejemplo de cómo se pueden usar nuestros datos exponencialmente desde el punto de vista Big Data".
Régimen sancionador
Mar España insistió en el riesgo reputacional que implica tener brechas de seguridad y una protección de datos deficiente. "Que se lo digan a Facebook"', apostilló. "La protección de datos puede convertirse en un signo de competitividad y una oportunidad", subrayó .
En cuanto a los cambios en las sanciones, España explicó que "pusimos una multa de 1,2 millones de euros a Facebook porque antes solo se permitía poner una sanción de 600.000 euros por infracción muy grave y pudimos ir hasta el máximo legal. Ahora la sanción llega a los 20 millones de euros o el 4% del volumen de facturación global mundial de la entidad".
Por otra parte, Mar España animó a las pequeñas y medianas empresas a utilizar la herramienta Facilita RGPD de la Agencia para cumplir las exigencias del Reglamento. "Son 15 minutos y para los que tratan datos básicos y son pequeñas es suficiente", destacó. "Esto tampoco es un cheque en blanco, después tiene que tener una filosofía de protección de datos", aclaró.
Para terminar, Mar España hizo un llamamiento a los grupos parlamentarios: "Necesitamos la Ley aprobada cuanto antes, si no, hay casos que se pueden quedar impunes".
Cambio de filosofía
A continuación, Xavier Gil Pecharromán, jefe de Normas & Tributos de elEconomista moderó la mesa redonda de expertos, cuya conclusión general giró en torno a la necesidad de un cambio de filosofía en el tejido empresarial para abordar la entrada en vigor del Reglamento desde la proactividad y no desde la reactividad.
Eduardo Cavanna, subdirector del Colegio de Gestores Administrativo de Madrid, incidió en su intervención en poner la confianza en profesionales como los Gestores Administrativos: "El 25 de mayo no tiene por qué abrirse la caja de Pandora". Partiendo de la premisa de que preservar los datos es un derecho fundamental, ante una situación de desconocimiento, reivindicó el papel de los gestores como eslabón esencial para el correcto cumplimiento del Reglamento, a lo que añadió: "Los datos personales son el petróleo del siglo XXI".
Por su parte, Antonio Vergara, director del Área Tecnológica y Sector público de SAP España, aportó la faceta más técnica del sector como líder en desarrollo de software empresarial. "La privacidad es fundamental, nuestro software tiene que estar alineado con el Reglamento", y puso el acento en que "más que ser algo disruptivo y una revolución debe ser una evolución, nos dedicamos a la excelencia del dato y de las operaciones". "Ahora lo más importante no son los datos que se almacenan, sino los procesos a los que se someten".
En esta línea continuó Assumpta Zorraquino, socia responsable de Regulación Digital de PwC, habló del acompañamiento multidisciplinar que realizan para las empresas, y puntualizó que el asesoramiento en protección de datos había caído en un accomodity y "es hora de que las compañías reflexionen sobre el uso que hacen de los datos en este ámbito".
Por ello, añadió que una de las novedades del Reglamento es que los riesgos ya no solo se analizan sobre el punto de vista de seguridad, sino que "habla mucho de los riesgos legales y de la privacidad de los derechos fundamentales de la persona y nos obliga a revaluar muchas áreas de la empresa como la jurídica".
Desde la perspectiva de Lluís Pons, director de Marketing de Banco Sabadell, la nueva normativa es una nueva oportunidad para la banca ya que su reputación se construye a base de confianza depositada. Por ello, argumentó Pons que "los datos son del cliente y tenemos que ganarnos el derecho a poderlos utilizar y para ello tenemos que darles valor porque si no este consentimiento no lo vamos a tener".
Si embargo, el experto aboga por afrontar el desafío desde el ámbito cultural y la relación con los clientes: "Para ello tenemos que cambiar de modelo, no debemos bombardear al cliente sino usar sus datos para que le sirva a este. Si es relevante para el cliente nos van a dar este consentimiento". Además, mirando a largo plazo Lluís Pons insiste en que "si pensamos que el 25 de mayo hemos cumplido, es un gran error".
María de la Torre, chief compliance y delegada de Protección de Datos (DPO) del Grupo MásMóvil, aportó la perspectiva del cumplimiento normativo. "Estamos en un cambio de paradigma, en compliance se pide que la propia empresa se impulse, se autoorganice y tenga un registro proactivo de sus responsabilidades" añadió.
Ante este cambio de cultura que exige el nuevo Reglamento de Protección de Datos, De la Torre explicó que "trabajar para evitar la sanción es un error" y que hay que trabajar en sentido contrario, puesto que "los datos personales del cliente no forman parte del activo de la compañía y debe existir un principio de transparencia, y minimización".
Por su parte, Salvador Serrano, responsable del Área de Protección de Datos de PSN Sercon destacó la dificultad que supone la aplicación del nuevo Reglamento para los profesionales. "Menos mal que la Agencia nos ayuda, porque tenemos muchísimo trabajo", aseveró. En este sentido, Serrano recordó que la Ley de Protección de Datos del año 1999 no se derogará. "Esto implica muchas dificultades. Habrá que ver cuáles son los preceptos que no chocan con la nueva normativa para seguir aplicándolos.
Además, Serrano, que trabaja con datos de Salud, manifestó sus dudas acerca del delegado de Protección de Datos en este sector. "Sabemos que tenemos datos muy sensibles. Pensábamos en el perjuicio económico que podía suponer contratar un delegado de protección de datos (DPO) en consultorios muy pequeños", explicó. "Nos hemos dado cuenta de que el DPO no es un esclavo. Es toda la organización la que tiene que tomar conciencia de estas nuevas exigencias", indicó.
En cualquier caso, Serrano aseguró que "el próximo día 25 no se acaba el mundo". El experto destacó su confianza en que las empresas y organizaciones cumplirán con las nuevas exigencias en esta materia. De este modo, subrayó que los cambios no afectan solo a una línea productiva de la entidad.
"Esto se puede cumplir", declaró. Serrano apuntó a la necesidad de contar con un buen asesoramiento en la materia, aunque expresó que "lo más importante es crear una nueva cultura en la empresa. Esa cultura solo es posible con el apoyo de todas y cada una de las personas que integran la organización", concluyó el especialista.
