La asociación ISACA Madrid, como expertos en ciber seguridad y Protección de Datos, nos ofrece un interesante informe de los aciertos y dificultades de la implantación en nuestro país del Reglamento Europeo de Protección de Datos, al cumplirse los cuatro primeros meses desde que entró en pleno vigor el pasado 25 de mayo de 2018, y comenzó a cambiar la manera de ver la privacidad de nuestro datos de todos los españoles.
Estas son las conclusiones. Seguimos avanzando¡¡¡
¿Qué tal nos va con el RGPD después de 4 meses implantado?
• Los servicios internet y los ficheros de morosos, los sectores más incumplidores
• Rectificación, cancelación y falta de consentimiento, los preceptos que más se incumplen
• Hay mucho por hacer. Las empresas se han relajado porque todavía no ha habido grandes sanciones
• Se están parcheando procedimientos, porque hace falta inversión para contar con personal especializado y establecer las herramientas más adecuados
• La mayor parte de los errores son humanos y se pueden evitar con formación
• El Reglamento es un documento muy general que permite interpretaciones muy amplias o muy reducidas
• El repaso de los profesionales al trabajo realizado por la AE PD en estos cuatro meses es positivo
Ya se han cumplido cuatro meses desde la entrada en vigor en todo el territorio de la UE del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales en cualquier ámbito público. La Asociación de expertos en ciberseguridad y protección de datos ISACA Madrid , ha recabado los datos y conclusiones con los que perfilar el estado de implantación de la normativa en nuestro país.
La Agencia Española de Protección de Datos (AEPD)ha trabajado estos cuatro meses elaborando guías relativas al RGPD, como la relacionada con la gestión y notificación de brechas de seguridad, y la aportación de unas pautas de cuándo deben comunicarse estas a los particulares.
También ha editados varias útiles guías sectoriales: sobre protección de datos de fincas, compras en internet, privacidad y seguridad en la red, protección de datos y los ayuntamientos, protección de datos y la prevención de los delitos, fugas de información en despachos de abogados, cuando se trabaja con proyectos big data, guía para acertar con los procedimientos de anonimización de datos personales, para los clientes y prestadores de servicios de Cloud Computing, y para el cuidado que debe ponerse cuando se utilizan aplicaciones y plataformas en la nube por parte de profesores y alumnos en los centros educativos.
Los profesionales de ISACA destacan también la labor de las infografías realizadas por la Agencia, orientadas a educar a los ciudadanos con temas como “cómo evitar la publicidad no deseada”, los “derechos que tienes para proteger tus datos personales” o el “decálogo de protección de datos para el personal sanitario y administrativo”.
Y, por supuesto, la AEPD ha realizado sus labores inspectoras, y tras la aplicación de la normativa europea, los datos recogidos dejan claros cuáles han sido las resoluciones (798), los procedimientos sancionadores (131) y las tutelas de derechos (302).
Rectificación, cancelación y falta de consentimiento, las que más
Entre las resoluciones que destacan por la cifra, están las relativas al incumplimiento del derecho de rectificación y cancelación (259), las relativas a la falta de Consentimiento inequívoco (161), y empatan los incumplimientos a la hora de utilizar datos para finalidades no compatibles con aquellas por las que se recogieron y con el derecho de acceso a los datos recogidos (94 resoluciones). De aplicación directa del RGPD tan solo se han producido 3 resoluciones; una relacionada con la licitud del tratamiento de datos, y dos por relacionadas con la violación de la seguridad de los datos personales.
Los servicios internet y los ficheros de morosos, los sectores más incumplidores
Desde el punto de vista de la actividad empresarial, comercial o social de las empresas o colectivos objetos de resolución, las cifras indican que los más incumplidores son los servicios de Internet (145), los ficheros de morosidad (122), las actividades de videovigilancia (117), 65 resoluciones por contratación fraudulenta y 60 de incumplimientos procedentes de la administración pública.
Al lado contrario de la tabla se encuentran los profesionales en general, la seguridad privada, o los colegios profesionales, con una única resolución cada uno, los sindicatos, que han tenido solo 3 al igual que las referidas a la pérdida de datos en papel, es decir, datos aparecidos en la basura.
Panorama de la aplicación del GDPR según los profesionales del sector
El RGPD afecta a todas las empresas, grandes y pequeñas. Es en las primeras donde su implantación tiene un coste muy superior, proporcionalmente, sobre las pequeñas. Toda empresa maneja datos de empleados, clientes, proveedore… y tiene que documentar los flujos de los datos, realizar un análisis básico de riesgos y determinar las medidas técnica y/u organizativas que mitiguen dichos riesgos.
La AEPD generó una herramienta para ayudar a determinar el nivel de riesgo, esta no documenta los flujos, ni genera los procedimientos para satisfacer el ejercicio de los derechos de los interesados, informar brechas de seguridad, etc… y todo esto lleva, además de inversiones y costos, tiempo.
¿Qué se está haciendo y qué se debe hacer?
Según los expertos, es necesario involucrar cuantas más personas de una empresa (técnicos, comerciales, quien sea) para que todos sepan a quién preguntar cuando surgen dudas con la normativa.
• Las empresas llegaron hasta el 25 de mayo con mucho “nervio”, y como han visto que no pasa nada grave, se han relajado.
• Es imprescindible implantar y bien los procedimientos. No se está haciendo.
• Los que no habían hecho nada se han puesto las pilas de manera sorprendente
• Preocupa el tema de las medidas de seguridad, la brecha de seguridad y no solo las grandes que salen en prensa, las de pymes, micropymes, etc.
• Se está en una primera fase, que va perdiendo fuelle, que cambiará cuando se aplique la primera gran sanción y todos querrán cumplir con el Reglamento. Para ello, hay que documentar los riesgos, minimizarlos y así tener preparadas las defensas ante la AEDP.
• La mayor parte de los errores son humanos y se pueden evitar con formación, con ejemplos reales. Muchos no son intención de daño, son tonterías, y se solucionan con formación. Ojo, que la falta de intención no te evita la sanción.
• Una buena práctica es realizar pruebas reales en las empresas para ver el grado de madurez de la protección y privacidad de los datos entre los empleados.
• Hay que intentar vender el RGPD como ventaja competitiva desde punto de vista de la responsabilidad social corporativa. Es un derecho constitucional.
El estado actual de implantación presenta las siguientes conclusiones:
• El Reglamento es un documento muy general que permite interpretaciones muy amplias o muy reducidas
• Es un galimatías: hay una clara falta de claridad respecto al modo de aplicar el reglamento y esto genera una cierta inseguridad.
• En cuanto a organización, se ha detectado una falta de directrices claras dentro de las empresas respecto a quién hace qué internamente.
• Se están publicando normativas en los diferentes países de la UE adaptado el Reglamento a la normativa local
• En España se ha aprobado el Real Decreto Ley 5/2018 de medidas urgentes para adaptar el Derecho español a la normativa de la UE en materia de protección de datos. En Bélgica se acaba de aprobar la normativa, y en otros países aún están en periodo de consulta pública.
Causas de incertidumbre en las empresas de que se esté cumpliendo y aplicando bien en RGPD.
• Indefinición y falta de claridad
• Necesidad de Códigos de Conducta por sectores,… empresas certificadas, …
• Falta de recursos , generalizada en las empresas e instituciones públicas
• Desconocimiento del GRPD y de su impacto
• “Se parchean” los recursos y herramientas que se tienen y se “tira” para adelante
• Como las sanciones no han llegado, se está retrasando su implantación.
Estos son alguno de los puntos aprendidos para aplicar la norma y proteger los datos.
• Tener matrices de responsabilidad de quién hace qué; el GRPD es de obligado cumplimiento todas las áreas de la empresa que manejan datos personales y debe tener responsabilidad con matrices claras.
• Tener procedimientos reales y sencillos. Más vale tener un procedimiento claro y muy sencillo, explicado en corto para que se lo lean hasta el final, para que todos en una empresa o institución sepan lo que se debe hacer. Y facilitar el trabajo de inspección de la AEPD.
• Documentar el riesgo y justificar tus decisiones
• La norma hay que aplicarla en toda la empresa. Aplicación interdepartamental.
• Importancia de adscribirse a códigos de conducta
• Imprescindible la formulación aunque sea mínima para quienes manejan datos en las empresas y facilitar claros documentos de guías o FAQ
