"En España falta formación en materia de protección de datos"
María Suárez, experta en cumplimiento TI y socia en el área de privacidad de Andersen España, da las claves actuales de GDPR tras cumplir cuatro años desde su entrada en vigor.
Mario Moreno/ Vídeo: Juan Márquez
Cuenta María Suárez, experta en cumplimiento TI y socia del área de privacidad en Andersen España, que el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) -que está en vigor desde el 25 de mayo de 2018-, trata, de entre todos sus objetivos, de seguir el ritmo a la frenética evolución de la transformación digital, que se ha acelerado más si cabe tras el estallido de la pandemia de la COVID-19. Por ello, su aplicación transversal tendrá que convivir ahora con otras legislaciones cumbre en materia de servicios digitales o inteligencia artificial- (IA), entre otras. Así, asegura en esta entrevista, todos los cambios normativos que se hacen en la actualidad tienen en cuenta este escrito, "por lo que su llegada supuso la consecución de unos cimientos muy sólidos".
¿Qué tal está envejeciendo la normativa teniendo en cuenta todo lo que ha acontecido en estos cuatro años, con la llegada de una pandemia incluida?
La norma vino a revolucionar el sector de la protección de datos con el principal objetivo, que se ha conseguido, de armonizar las legislaciones a nivel europeo. Había 27 normas distintas, y la aplicación directa del Reglamento ha otorgado una aplicación transversal. Además, destaca la centralización de la autoridad de control, que se puede elegir para las compañías multinacionales. Su segunda propuesta era afrontar los cambios de la evolución tecnológica. Cuando GDPR se empezó a gestar, con una propuesta muy anterior a cuando se aprobó en 2016, trataba de ver esa aceleración. Pero ya incluso hablamos de la quinta Revolución Industrial, y, evidentemente, hay que reformar los aspectos legislativos. Por ello, en la Unión Europea (UE) están en trámite escritos fundamentales como la Ley de Servicios Digitales o la Ley de Mercados Digitales, que van a modificar sobremanera, o adaptar, GDPR. Uno de los principales riesgos que se produce es cómo nos redirigen las plataformas digitales en función de nuestros datos. Hacen análisis de perfiles sobre los que hay mucho que debatir en materia de protección, sobre todo con la retirada de contenidos, el derecho a la libertad y el derecho al honor, en contraposición con el derecho a la libertad de expresión, que siempre andan en un campo de batalla. Por ejemplo, Twitter ha dicho que no va a retirar ningún contenido.
Otro aspecto legislativo importantísimo es en materia de IA. El Parlamento Europeo (PE) trabaja en una propuesta de la Comisión Europea (CE) para que el continente se convierta en el centro mundial de esta tecnología a la hora de generar confianza. Hay que generar confianza en el ciudadano, y para eso hay que tener transparencia y principios éticos. Un campo decisivo va a ser el de la legislación de las decisiones automatizadas que impliquen efectos jurídicos en los ciudadanos. Esto actualmente está prohibido en GDPR cuando se refiere a datos de salud, por poner un ejemplo.
Ha comentado que, al final, uno de los objetivos últimos de las normativas es crear confianza en los ciudadanos. ¿GDPR lo ha conseguido? Muchos expertos critican que ha tenido más trascendencia en las empresas que concienciación en las personas…
Personalmente, veo que a nivel empresarial sí que ha habido una adaptación y una implantación de sistemas con respecto a la normativa. Pero el ciudadano no es del todo consciente del poder que tienen sus datos, aunque cada vez hay más empoderamiento, por ejemplo en temas de salud en lo que se refiere a derechos de rectificación o de acceso a la historia clínica. También en lo concerniente a la retirada de contenidos, al derecho al olvido. Por otra parte, al ciudadano le cuesta canalizar su queja o reclamación. Ahí, la Agencia Española de Protección de Datos (AEPD) ha hecho una campaña divulgativa, con mucha pedagogía, pero la reclamación sigue siendo un proceso lento. Además, no hay una compensación tangible que pueda ver el ciudadano. Luego, se aceptan sin leer las políticas de privacidad de las páginas web. Yo aconsejaría leerlas, porque puede ser preocupante lo que se es capaz de hacer con nuestra información.
"El ciudadano no es del todo consciente del poder que tienen sus datos"
Al final, esto protocolos de políticas de privacidad pueden suponer un proceso tedioso para el ciudadano. ¿No debería combinarse la privacidad con la experiencia de usuario?
Sí, efectivamente. La AEPD permite dar la información en dos capas; con una información general y otra más amplia de todos los derechos. Yo entiendo que el ciudadano debe saber el poder que tienen sus datos y las posibilidades que tienen de monetizar ellos mismos su información.
En el aspecto positivo, GDPR ha mejorado la comunicación de brechas y la transparencia de cara a los ciberataques.
Se ha perdido, y se debe hacer, el miedo a notificar las brechas de seguridad. Al principio, cuando se dictó GDPR, una de las cosas que más preocupaba a las empresas es el tema de la transparencia y la comunicación; decir: “Me he equivocado”. En países como España estamos acostumbrados a reconocer el error y a ‘recibir un palo’ por ello, mientras que en la cultura anglosajona pondera más el reconocimiento de una equivocación, poner remedio y seguir adelante, que es de lo que se trata. Por ello, al principio costaba mucho denunciar una brecha de seguridad, pero actualmente se ha paliado. Cada vez más empresas comunican a la AEPD y analizan lo que ha pasado y qué datos se han visto involucrados para poner las medidas pertinentes. De hecho, los casos que más se han sancionado son de brechas de seguridad antiguas que no se han comunicado y que se descubren. Y son sancionables porque no se había observado la diligencia debida en las medidas de seguridad que había que adoptar. El principio inspirador de GDPR es acreditar tu diligencia de vida, es decir, si tú has hecho tu análisis de riesgos y puesto protecciones. Si con esto tienes una brecha, porque la ciberseguridad 100% no existe, no conlleva sanción.
Según los últimos datos publicados de 2021, las empresas españolas son las que más multas han recibido por incumplir con GDPR de todos los países miembros. ¿A qué se debe?
Las multas del ejercicio 2021 ascienden a 35 millones de euros. Es un tema a tomar en serio. Viendo cuáles son las principales empresas a las que se impusiero; banca, empresas de telefonía y otras como Mercadona, puede haber un poco de crítica para ambas partes. Creo que a veces la AEPD es poco clara con la practicidad, aunque elabora muchas guías, porque si bien es cierto que la banca, por ejemplo, puede utilizar muchos datos y manda publicidad dirigida, en las sanciones al sector se refleja que las políticas que se utilizaban eran contradictorias, pero no que no cumplieran la normativa. A veces pienso que hay un exceso de celo por parte de la AEPD. Pero, de cara a las empresas, en España no solo basta con tener un manual, unos procedimientos y unas políticas, sino que además es muy necesario hacer un seguimiento e implantar la concienciación. Falta formación en protección de datos.
¿También faltan Delegados de Protección de Datos (DPO, de sus siglas inglesas) en las empresas?
Todavía sorprende que, en muchos casos siendo obligatorio, haya muchas compañías que no cuenten con esta figura. Otro aspecto es que muchas no siguen los manuales de procedimientos. El DPO forma un rol muy importante en cuanto a transformación digital. Con todo el cambio que ha traído la pandemia, muchas empresas no lo utilizan, y puede ser una figura transformadora y moderna. Su misión puede aportar innovación. Si no, se puede idear un negocio, pero cuando se lance va a ser limitado por el Reglamento. Una de sus labores, además, es dar formación.
"Sorprende que haya muchas empresas que no tengan DPO, aun siendo obligatorio en su caso"
Las empresas con más sanciones en cuanto a volumen son las grandes tecnológicas. ¿Los importes que impone en Reglamente –del 4% de la facturación anual sin superar los 20 millones de euros– suponen de verdad un freno para que no se cometan infracciones?
Yo creo que sí que suponen un freno. Por ejemplo, Google cambió, en cierto modo, su política de privacidad. Es cierto que utilizan nuestros datos, pero también los ciudadanos usamos sus servicios. Y de eso somos responsables cuando contratamos los servicios de una gran tecnológica o utilizamos una gran plataforma. No hay nada gratis y tenemos que ser responsables de ello. Al final, las multas sí que conciencian a las empresas en el sentido de su adaptación a Europa. Cumplir con GDPR es una marca diferenciadora y competitiva respecto al resto de las empresas que no actúan de este modo.
Por último, y con todo lo dicho, ¿GDPR tiene larga vida?
Yo creo que sí, pero sufrirá cambios. Lo bueno que tiene, y que ya no se va a cambiar, es el formato, su generalidad. Esto ya nos augura la armonización a nivel europeo. Luego está la figura del supervisor que hace que se le consulte en todos los textos legislativos transversales. En todos los cambios legislativos se tiene en cuenta esta normativa, por lo que entiendo que hay unos cimientos sólidos.
