El 25 de mayo de 2018 se acababa el mundo. La llegada del Reglamento de Protección de Datos europeo pilló a las empresas en pañales. Esta normativa, en vigor desde aquel temido día, amplió las exigencias en la materia y puso el foco en la protección de la privacidad de los ciudadanos europeos. Para introducir más miedo, Bruselas aprobó el texto con sanciones que alcanzan, en el peor de los casos, los 20 millones de euros o el 4 por ciento de la facturación total anual global del ejercicio financiero anterior. La que mayor cuantía suponga. Paula Fernández-Longoria, abogada y socia del despacho Pinsent Masons, conoce de primera mano los quebraderos de cabeza que ha supuesto para las compañías la adaptación al Reglamento.
"Ha costado", reconoce la abogada. La fuerte demanda de estos servicios en los bufetes lanzó a Pinsent Masons a activar un teléfono 24 horas al que las compañías pueden acudir en caso de emergencia. "No puedes llamar al 112 en caso de una brecha de seguridad, pero puedes llamarnos a nosotros", explica la socia del despacho.
¿Están adaptadas ya las empresas a este Reglamento?
Los clientes se van a adaptando pese a las dificultades. Una cosa que estamos observando es que hay muchos problemas en torno a la figura del delgado de protección de datos (DPO, por sus siglas en inglés). A las compañías les está costando entenderla.
Esto es un clásico desde la entrada en vigor del Reglamento. ¿Siguen sin entender bien esta figura?
Algunas empresas lo tienen con un perfil más técnico y otras se deciden por uno más legal. Sin embargo, lo que exige el Reglamento es que tiene que tener independencia. Las compañías no saben muy bien como encajar al DPO y dotarle de esa independencia necesaria.
¿Cómo recomienda a las organizaciones que implanten esta nueva exigencia? ¿Es mejor externo o interno?
Se puede hacer de los dos formas, interno o externo, dependiendo de cada caso particular y la posición de la empresa. Lo que sí está claro es que tiene que cumplir con los requisitos que exige el Reglamento. Tiene que tener independencia y los recursos suficientes para llevar a cabo su labor.
¿Cuesta todavía asignar presupuesto para estos responsables?
Muchas todavía lo ven como un gasto y no entienden que es una inversión. Algunas optan por incorporarle dentro del departamento legal. Esto, por sí mismo, no es suficiente. No tienen de esta manera la independencia para cumplir con sus funciones. Está costando el encaje. Al final, si todo esto no está bien encajado, los riesgos son muy altos, empezando por el reputacional, que hoy en día, te puede tumbar la compañía.
Una de las claves del Reglamento es la exigencia de comunicar a la Agencia Española de Protección de Datos las brechas de seguridad que sufra la organización. ¿Les está costando informar?
Es verdad que todas tienen una reticencia inicial a comunicar las brechas de seguridad. Sin embargo, la normativa es muy clara sobre este asunto y hay que reportarlo. Lo bueno que tiene es que al final eres tú mismo el que informa tanto a usuarios como a la agencia. Tiene mucho más sentido en cuanto a reputación.
En la Agencia Española de Protección de Datos dicen, incluso, que los hay que notifican demasiado. ¿Es verdad?
Hay gente que se pasa de reportar pero también hay gente que no llega a los mínimos. En este sentido, es importante contar con un asesoramiento previo y ver si realmente es una brecha que esta afectando a lo que exige el Reglamento. Hay muchos clientes que te llaman para preguntarte por pequeñísimas cosas y si lo tienen que reportar. Todavía hay muchas dudas sobre esto.
¿Es importante la prevención?
Todo hay que tenerlo preparado antes de que llegue la brecha. Es importante tener previsto también el mensaje que se va a lanzar a los usuarios. Aquí intervienen varios departamentos, tanto el legal, como el de comunicación como el de desarrollo tecnológico. Hay que tener preparado un protocolo interno para saber qué hay que hacer, cómo y seguirlo cuando las brechas de seguridad ocurran.
¿Lo tienen preparado?
Al final esto es compliance. Las empresas lo ven como un gasto y les cuesta verlo como una inversión en el negocio. Pero una cosa está clara. Si hay una brecha de seguridad todo el negocio se puede parar. La inversión en esto es fundamental. Todo lo que tengas preparado de antemano te podrá salvar cuando llegue el problema. Cuando lo tienes encima, es demasiado tarde. Algunos optan por seguros de ciberseguridad. Nosotros hemos puesto en marcha una línea telefónica 24 horas, hacemos en tiempo récord un diagnóstico legal y les ponemos en contacto con personas de desarrollo tecnológico.
¿Cuáles son los siguientes pasos de las autoridades?
Las autoridades de protección de datos quieren buscar una armonización de la regulación teniendo en cuenta que los derechos fundamentales, como es el de privacidad, son iguales en todo el mundo. Ya existe el reglamento final que ha servido como base para otros países como Brasil o Argentina. Estos países están empezando a aprobar su normativa de protección de datos y quieren que case bien con el Reglamento.
Uno de los asuntos que más miedo provocaba era el de las multas. ¿Se están poniendo ya sanciones elevadas?
Las sanciones a entidades más pequeñas están siendo del mismo nivel más o menos. No ha habido un incremento muy grande. En empresas grandes sí que son muy elevadas, pero también lo eran antes. Lo que sí que veremos será un aumento en las reclamaciones de los usuarios.
Entidades
