¿Cuál es el estado de madurez de España en materia de protección de datos?
Hoy se celebra el Día Europeo de la Protección de Datos y el país mejora las prácticas de la media del Viejo Continente en cuanto a ratios de incumplimiento con el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas).
Aunque se celebre por decimocuarto año consecutivo, el Día Europeo de la Protección de Datos tiene hoy más sentido que nunca. Su función, la de dar a conocer los derechos y responsabilidades en esta materia, no carece de dificultad y de importancia toda vez que el Viejo Continente aún se encuentra en plena adaptación de los preceptos del Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas); la norma que cambió para siempre (desde su entrada en vigor el 25 de mayo de 2018) la visión de la privacidad y la manera de hacer negocios en Europa. Tanto es así que el propio José Luis Piñar, delegado de protección de datos (DPO) del Consejo General de Abogacía Española, y proclamado por muchos expertos como el “mejor jurista digital del país”, aseguraba en un entrevista con CSO España que su introducción supone un hecho histórico porque “es la primera vez en la historia que una ley afecta a toda la humanidad”. Es decir, cualquier entidad o persona que quiera relacionarse con los datos de algún europeo debe cumplir con sus artículos.
Sin embargo, la efeméride que conmemoramos hoy se corresponde con la firma de la Convención 108 que el Consejo de Europa oficializó en 2007 y que ha sido hasta la llegada de GDPR el único tratado internacional sobre protección de datos. En la actualidad dicho tratado ya no reside en el imaginario colectivo, engullido por el propio Reglamento, que ha puesto de nuevo en el foco esta preocupación. Y, tras año y medio desde que echase andar, cabe juzgar cómo se encuentra España en materia de cumplimiento desde todos sus cuatro costados (empresas, administraciones públicas, ciudadanía y reguladores).
Un informe de la compañía Fellowes pone de relieve que la media de incumplimiento de los países de la Unión Europea (UE) se sitúa en el 17%, seis puntos porcentuales por encima de la media española, que se ha destapado como una de las geografías más duchas en este aspecto. No obstante, todavía queda mucho por hacer en cuanto a concienciación. En una reciente conversación con ComputerWorld, Chema Alonso, Chief Data Officer (CDO) de Telefónica, hablaba sobre la importancia de calar en el usuario final: “La gente tiene que saber cómo funciona el ecosistema actual de comercialización de datos. No es consciente de que en Internet paga con su privacidad y ha de conocer la actividad de esta nueva economía. Hay todavía un gran desconocimiento y, sobre todo, despreocupación”. Además, el ínclito directivo aprovechaba para verter una pequeña crítica al Reglamento: “Tengo la sospecha de que se ha convertido en la nueva política de cookies. Ahora hay que tener consentimientos para todo, pero están a golpe de un solo clic. Todas las empresas ávidas de datos están aprovechando cualquier interacción digital para solicitar permisos”.
En período de transición
Estas palabras son ejemplo de que todavía nos encontramos en período de transición para asimilar y cumplir completamente con la normativa. De hecho, la Agencia Española de Protección de Datos (AEPD), que es el organismo con potestad sancionadora a nivel local, se muestra cauta a la hora de imponer multas. Éstas pueden ascender al 4% de la facturación anual de una organización (sin sobrepasar los 20 millones de euros). Por el momento, explica Fernando Maldonado, analista principal de IDG Research, ya se han producido algunas penalizaciones disuasorias a grandes compañías, como ha sido el caso de la aerolínea British Airways, pero su actividad no es todavía palmaria. “Estamos en un período de no agresión en el que las sanciones dependen del seguimiento del regulador y de sus esfuerzos”, dice. “Falta que se dediquen más recursos”.
Preguntado por si encuentra algún fallo o crítica en el escrito, el analista responde que la ley no está orientada a una lista de verificaciones, pues su éxito reside en la imprecisión que genera flexibilidad. Muestra de ello es el primer caso en España en el que se ha eximido a una empresa de sanción. Se trata de la farmacéutica Promofarma, que ha sufrido una brecha que ha afectado a la información de más de dos millones de usuarios. Su buena praxis a la hora de comunicar y tomar medidas ha finalizado en un documento de resolución de la AEPD en el que se dispensa a la firma de cualquier sanción debido a que “su actuación como entidad responsable del tratamiento ha sido acorde con la normativa sobre protección de datos personales”, tal y como reza el informe. “Es un buen ejemplo de lo que es GDPR”, analiza Maldonado. “Exige transparencia, pero las empresas trabajan con el supuesto de que van a ser atacadas. Su labor reside en reaccionar acorde a la filosofía de la ley”.
En definitiva, los expertos coinciden en que todavía nos encontramos en el comienzo de la era GDPR, por lo que todavía hay margen de mejora y de concienciación pero sabiendo de que se trata de un sector, el de la privacidad, que ha cobrado una importancia extrema en el paradigma digital. Lo que históricamente ha sido un imperativo para países como Alemania, concluye Maldonado, ahora se extiende a todo el Viejo Continente. La hipersensibilidad sobre la información personal ha de hacerse patente y defenderse ante las amenazas digitales.
