Exigente pero necesario: las empresas evalúan el GDPR tras cuatro años desde su implementación
Distintas compañías comentan con CSO cómo pusieron en práctica el Reglamento General de Protección de Datos a nivel europeo y cuáles son los retos que aún persisten en esta materia.
El 25 de mayo de 2018 supuso un hito para la protección de datos y marcó el inicio de un complejo proceso para las empresas europeas. Ese día entró en vigor el nuevo Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas), una normativa que refuerza y unifica los esfuerzos en esta materia a nivel europeo, con el conocido impacto que esto supondría para las organizaciones y su manera de manejar este tipo de información.
Se trató de un paso en la dirección correcta, hacia un mayor resguardo de los datos personales de los ciudadanos, sobre todo en un contexto en el que el cibercrimen ha hecho de ellos su objetivo principal. Sin embargo, la implementación presentó un tremendo desafío para las empresas, ya que el GDPR es una de las normativas más estrictas en cuanto a protección de datos en el mundo.
Para las multinacionales, esto significó la compenetración de distintas normativas nacionales o regionales en un mismo negocio. Para las empresas de distintos sectores, supuso un upgrade desde prácticas más laxas. Para las pymes, implicó mayores esfuerzos económicos y de talento para su cumplimiento.
¿El veredicto?
Enrique Salgado, senior information security manager de Cabify, califica la normativa como “positiva”. Asegura que desde la creación de la compañía “hemos considerado los datos de nuestros clientes como algo totalmente privado y que es importante proteger. En nuestros sistemas existe información de localización de millones de personas, así como sus números de teléfono o direcciones. Para nosotros no hay diferenciación entre un cliente normal y un cliente que podría ser muy famoso, tratamos los datos por igual”.
“En este sentido la normativa GDPR ha sido positiva porque nos ‘obliga’ a mejorar nuestros procesos de seguridad de datos, ya que sin una normativa establecida es posible que algunos factores se nos escapen al diseñar el entramado de seguridad”. añade.
"El GDPR era, sobre todo, necesario como respuesta ante los retos a los que se enfrenta la privacidad en el entorno digital y el aumento de la conciencia de los usuarios sobre el valor de los datos y la importancia de su protección"
Gregorio Burgueño, DPO de Atento
Juan Cobo, CISO global de Ferrovial, concuerda con Salgado en que se trata de una normativa “necesaria y positiva”. Opina que “contar con un marco de referencia homogéneo para todos los estados miembros de la Unión Europea resulta necesario para acompasar el enfoque que se da al cumplimiento normativo en distintas geografías, cuestión que para Ferrovial resulta de especial interés dada su actividad y presencia internacional”.
Asimismo, Cobo también valora “la flexibilidad que, en cierto modo, permite el actual enfoque del legislador, quien delega en la propia compañía la decisión acerca del modo en que alcanzar y cumplir con las exigencias y objetivos que se propone la norma, pudiendo adaptar a los procesos de cada compañía el cumplimiento con la normativa”. También destaca “el efecto ‘palanca’ de GDPR, como el de otras regulaciones, en la mejora de los marcos de control y de seguridad de las compañías”.
Gregorio Burgueño, Delegado de Protección de Datos (DPO) de Atento, también evalúa la normativa como positiva. “El GDPR era, sobre todo, necesario como respuesta ante los retos a los que se enfrenta la privacidad en el entorno digital y el aumento de la conciencia de los usuarios sobre el valor de los datos y la importancia de su protección. Por esto, por la protección que les ha brindado a las personas, que en definitiva son nuestros clientes finales, la considero muy positiva”, señala.
En Atento, comenta, “valoramos su cumplimiento no tanto como una imposición -aunque así sea- sino más bien como una responsabilidad; el cumplimiento de un deber, tratando los datos como nos gustaría que trataran los nuestros”.
Una implementación a consciencia
Antes de la puesta en marcha de la normativa, las empresas debieron realizar diversas acciones para prepararse para su implementación. En Cabify, según cuenta Salgado, se contrató a una consultora para realizar una pre-auditoría de la empresa que les permitió hacer un 'gap analysis' para encontrar brechas entre la anterior Ley Orgánica de Protección de Datos de Carácter Personal y el GDPR. “En función de esos huecos que encontramos realizamos un mini-proyecto de subsanación de los huecos. También hemos creado un departamento específico de seguridad y tenemos una persona dedicada a la seguridad y privacidad de los datos como DPO”, comenta.
Por su parte, Cobo afirma que en Ferrovial ya se contaba con recursos específicamente dedicados al cumplimiento de las obligaciones de protección de datos, por lo que la puesta en marcha del GDPR se vivió en la empresa como “un paso más en el enfoque que ya se venía dando a esta cuestión”. Así, tras analizar las novedades que se introdujeron y valorar su impacto, se acometieron distintas tareas para regularizar el cumplimiento de la normativa, “tanto desde la base misma de los procesos y actividades, contando con el rol y participación de todos los empleados y funciones involucradas, como de forma transversal para aquellas cuestiones comunes a distintas líneas de actividad y procesos”.
“Esta implementación, en cualquier caso, requiere de una atención y actuación constantes para poder adaptar los procesos y el cumplimiento de la normativa a las distintas novedades que se van dando -por ejemplo, cambios en los propios procesos o en el contexto que nos rodea (crisis sanitaria, modificación de la normativa aplicable a Ferrovial, etc)- y a los criterios interpretativos que mantienen e introducen en cada momento las autoridades de control”, agrega.
“Esta implementación requiere de una atención y actuación constantes para poder adaptar los procesos y el cumplimiento de la normativa a las distintas novedades que se van dando, por ejemplo, cambios en los procesos o en el contexto que nos rodea”
Juan Cobo, Global CISO de Ferrovial
En Atento, Burgueño sostiene que “después de 4 años de plena aplicación y 6 desde que empezamos a trabajar en ello, su supervisión y cumplimiento está totalmente integrado en nuestros procesos y en los de nuestros clientes, es parte inherente de la actividad”. “Obviamente, fue un proceso laborioso, complejo, no exento de incertidumbre e inquietud sobre la idoneidad de ciertas decisiones, pero a la vez llevamos el cambio con cierta naturalidad”, dice. Esto, según explica, porque la compañía ya estaba acostumbrada a trabajar con datos.
“El proceso de adecuación e implementación se llevó a cabo como una labor de compañía, no de un área, y fue liderado por la alta dirección, lo que facilitó su desarrollo y la involucración de todos. En términos prácticos y muy generales, aplicamos una metodología muy simple, analizando de manera pormenorizada todas las obligaciones que imponía el GDPR, así como el impacto de éstas en los procesos de la compañía, para a partir de esto identificar las carencias y mejoras necesarias y establecer los planes para su corrección”, detalla.
Los obstáculos en el camino
En cuanto a las complicaciones que las organizaciones experimentaron para implementar el GDPR, Salgado comenta que lo más difícil ha sido “limitar los datos que nuestros propios empleados pueden ver sobre nuestros clientes. Se ha realizado un análisis importante del nivel de permisos dentro de nuestro ERP para limitar el acceso a la información de un cliente por parte de cada empleado. O sea, un empleado de customer service no ve la misma información que un empleado de fraude”.
En el caso de Ferrovial, Cobo afirma que “algunas obligaciones en relación con determinados procesos (y especialmente contando con el tamaño de la compañía) han resultado más complejas de abordar desde un punto de vista de responsabilidad proactiva y de accountability, ya que ha requerido de análisis en detalle de todas las implicaciones que los distintos enfoques posibles tendrían en los procesos corporativos”. Por otro lado, añade que “la continua modificación del contexto aporta otro elemento de complicación, ya que requiere que esas valoraciones que se han realizado y los distintos enfoques en el modelo de cumplimiento sean permanentemente revisados y reconsiderados para adaptarse a las novedades de cada momento”.
Burgueño, por su parte, comenta que para aplicar el GDPR en su empresa “una de las principales dificultades se debió al ser una multinacional, por el efecto que una regulación local tiene en un grupo, especialmente cuando los procesos están muy interrelacionados entre los diferentes países. En Atento vemos estas dificultades como una oportunidad de mejorar y diferenciarnos, y para ello extendemos estas mejores prácticas locales a todas las regiones, convirtiéndolas en estándar global y haciendo así de la necesidad virtud”.
Asimismo, otra dificultad “fue la incertidumbre por la falta de regulación específica, sectorial, y por la imprecisión de ciertas disposiciones, asuntos que obviamente inquietan cuando se trabaja para lograr un cumplimiento riguroso”.
Aspectos a mejorar
“Al ser una normativa muy extensiva, es a veces confusa en cuanto al alcance de ciertas cláusulas”, evalúa el Senior Information Security Manager de Cabify. Asimismo, sostiene que “para compañías internacionales como la nuestra, a veces se hace complicado seguir una normativa de privacidad cuando sólo aplica para ciertos ciudadanos y ciertos países. Por ejemplo, la normativa GDPR aplica para ciudadanos europeos y para operaciones en España, pero no aplica para ciudadanos brasileños en Brasil (tienen su propia normativa, similar a GDPR pero no igual), pero sí aplicaría para estos ciudadanos cuando viajan a España”.
"Para compañías internacionales como la nuestra, a veces se hace complicado seguir una normativa de privacidad cuando sólo aplica para ciertos ciudadanos y ciertos países (...) En algún momento habrá que crear una normativa internacional de privacidad y protección de datos"
Enrique Salgado, Senior Information Security Manager de Cabify
En ese sentido, Salgado aboga por “crear una normativa internacional de privacidad y protección de datos que no se limite por países sino que aplique en todos sitios”.
En tanto, el CISO de Ferrovial asegura que aunque el GDPR ha supuesto un avance en la homogeneización de criterios, “se sigue percibiendo un mayor margen de puesta en común y entendimiento entre autoridades de control. La distinta interpretación que a veces se realiza de una misma cuestión o, incluso, el cambio de parecer acerca de una misma cuestión en un corto plazo de tiempo, pueden conducir a cierto grado de inseguridad jurídica”.
Además, agregó que existen algunas obligaciones que para algunas compañías pueden resultar especialmente complejas de cumplir. “El enfoque que plantea el GDPR es único y común para todo tipo de compañías -salvo contadas excepciones en cuanto a determinadas obligaciones-, lo cual, en un país como España, en el que la mayoría de su tejido industrial está compuesto de pequeñas y medianas empresas, puede suponer una barrera y un obstáculo, conduciendo, a fin de cuentas, a un menor grado de cumplimiento por parte del conjunto total de las organizaciones”.
No obstante, el DPO de Atento considera que, a pesar de que hay aspectos que pueden ser mejorables, el principal problema de la privacidad no es normativo, sino que de formación, concienciación y transparencia. “Da la sensación de que la mayor parte de la gente no es consciente de lo importante que es la protección de sus datos (...) Por esto, creo que es vital promover la formación -desde el colegio incluso- para así concienciar de los riesgos a los que se enfrentan”, sostiene Burgueño.
De la misma manera, “la información sobre el tratamiento de nuestros datos tiene que ser simple, sencilla, perfectamente entendible para un ciudadano medio. Si te cuesta entender lo que hacen con tus datos, deberías empezar a preocuparte (...) Si conocemos cómo deben ser tratados nuestros datos y entendemos cómo van a serlo -o cómo lo están siendo-, nuestras decisiones serán más informadas y adecuadas”.
“Con estas dos medidas no se soluciona el problema, pero la privacidad se vería muy beneficiada y creo que sería un buen punto de partida para que la sociedad se fuera preparando para hacer frente a todos los desafíos que nos esperan como titulares y usuarios de datos”, puntualiza.
