El renovado marco normativo de protección de datos personales, basado en el principio de la «responsabilidad proactiva», exige un importante cambio de enfoque a todas a las empresas en relación con su cumplimiento. En tal sentido, las Asesorías y Despachos Profesionales están llamados a desempeñar un papel transcendental en la concienciación y sensibilización de sus clientes, contribuyendo a la consolidación de la cultura de protección de datos que ha de «impregnar» a todo el tejido empresarial español.
DATOS PERSONALES, UNA CUESTIÓN DE CONFIANZA Y COMPETITIVIDAD
La actividad regulatoria en materia de protección de datos personales durante el último lustro ha sido de una intensidad extraordinaria. En este sentido, la aprobación del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, configuran un renovado marco normativo de protección de datos, basado en el principio de la «responsabilidad proactiva», lo cual ha supuesto un importante cambio de paradigma en relación con el modelo nacido de la pretérita Directiva 95/46/CE.
Este escenario, del que ya no podemos predicar que sea «nuevo», está trufado de conceptos que hasta la fecha no eran familiares para el tejido empresarial español: responsabilidad proactiva, protección de datos desde el diseño y por defecto, análisis de riesgos, o delegado de protección de datos, entre otros.
Lo cierto es que, esta mentalidad distinta de cumplimiento activo y diligente de las normas de protección de datos personales, no ha terminado de calar definitivamente en nuestro país. Resulta sorprendente que, a día de hoy, un número muy significativo de empresas implanten un sistema de protección de datos no porque crean que repercutirá positivamente en la garantía de los derechos de sus clientes y en la confianza que estos tienen en su empresa, sino porque la normativa vigente obliga a ello y existe el temor a ser sancionadas por la Agencia Española de Protección de Datos.
Es cierto que la normativa recoge un régimen sancionador muy importante, que alcanza el máximo de 20 millones de euros de multa o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior. Pero centrar la visión únicamente en este aspecto es un enfoque muy obtuso.
“LAS EMPRESAS HAN DE SER CONSCIENTES DE QUE LA REPERCUSIÓN SOCIAL DE UN INCUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES LAS HACE MUCHO MÁS VULNERABLES, GENERANDO UNA MERMA DE CONFIANZA IMPORTANTE DE SUS CLIENTES EN LA MISMA”
Según la «Encuesta Global de Gestión de Riesgos 2019», realizada por la consultora Aon Risk Solutions, la segunda preocupación más importante para las organizaciones, tras la desaceleración económica, es el daño a la reputación y a la marca. En tal sentido, las empresas han de ser conscientes de que la repercusión social de un incumplimiento de la normativa de protección de datos personales las hace mucho más vulnerables, generando una merma de confianza importante de sus clientes en la misma.
Estrechamente vinculada a la cuestión de la protección de datos personales, se encuentra la relativa a la ciberseguridad. Convendremos en que muy pocas personas comprarían, en la actualidad, un vehículo de espectacular diseño y prestaciones que no incorporase los elementos de seguridad suficientes. Entonces, ¿por qué confiar en una empresa que no ofrezca esa seguridad en relación con la protección de nuestra información personal?
En la economía digital, los clientes de una empresa no están dispuestos a verse afectados por posibles violaciones de sus datos como consecuencia de una quiebra de seguridad. Sin embargo, nuestra información personal nunca ha estado tan amenazada: vivimos en una sociedad hiperconectada, que entraña importantes riesgos para nuestros derechos y libertades fundamentales. A este respecto, interesa subrayar que un correcto cumplimiento de la normativa de protección de datos personales mejora la seguridad de la información objeto de tratamiento en las empresas, garantizando su confidencialidad, integridad y disponibilidad permanentes.
Como consecuencia de todo ello, podemos afirmar que la protección de los datos personales es una cuestión de responsabilidad y de respeto de derechos, que ha de ser tomada en consideración con la importancia que tiene para la propia competitividad de la empresa, apostando por el fomento de una cultura de protección de datos y de la ciberseguridad que vaya más allá de la mera preocupación por las sanciones que la normativa recoge. Esta es la perspectiva adecuada que ha de adoptar toda empresa responsable.
No obstante, no todas las empresas son partícipes de esta visión. Es en este punto donde las asesorías y despachos profesionales tienen un papel trascendental como agentes dinamizadores de la protección de datos personales y de la ciberseguridad en el ámbito empresarial español, coadyuvando a la consolidación de la cultura de protección de datos que ha de «impregnar» a todas las empresas, haciéndolas más modernas, seguras y eficaces en la gestión de la información, y, en definitiva, más confiables y competitivas.
RESPONSABILIDAD Y DILIGENCIA
En muchas ocasiones, el asesor o profesional interesado en el cumplimiento de la normativa de protección de datos personales por parte de su cliente, habrá podido escuchar la manida frase: «Yo ya tengo la protección de datos». Esta óptica empresarial responde a un enfoque desacertado, que centra la visión en la mera contratación de los servicios de protección de datos con una consultora externa, sin prestar demasiada atención a disponer de los medios, los recursos y el tiempo necesarios para garantizar un correcto cumplimiento de la normativa en el seno de la empresa.
Como hemos señalado anteriormente, la aprobación del renovado marco normativo ha supuesto un cambio de paradigma en relación con el antiguo modelo de protección de datos personales, introduciendo el llamado principio de «responsabilidad proactiva», cuya base inspiradora es la noción anglosajona de «accountability» o rendición de cuentas, y según el cual las empresas son responsables del cumplimiento de la normativa de protección de datos y han de ser capaces de demostrarlo ante las autoridades de control competentes.
De tal modo, el principio de «responsabilidad proactiva» exige una actitud consciente, diligente y proactiva por parte de la empresa frente a todos los tratamientos de datos personales que lleve a cabo. En tal sentido, es importante puntualizar que la protección de datos personales no es una cuestión de «tener o no tener», sino de «cumplir o no cumplir», siendo necesario un grado importante de compromiso e involucramiento de la dirección de la empresa en la consecución de dicho objetivo.
“LA PROTECCIÓN DE DATOS PERSONALES NO ES UNA CUESTIÓN DE «TENER O NO TENER», SINO DE «CUMPLIR O NO CUMPLIR», SIENDO NECESARIO UN GRADO IMPORTANTE DE COMPROMISO E INVOLUCRAMIENTO DE LA DIRECCIÓN DE LA EMPRESA EN LA CONSECUCIÓN DE DICHO OBJETIVO”
Un segundo aspecto fundamental es la elaboración del denominado «registro de las actividades de tratamiento», tronco o pilar fundamental a partir del cual se ha de construir todo el sistema de protección de datos de la empresa. El citado registro debe aportar todo el conocimiento necesario sobre el ciclo de vida de la información, permitiendo una adaptación a la normativa de protección de datos acorde con las actividades de tratamiento de la empresa, así como un análisis individualizado del nivel de riesgo de cada una de las mismas, a fin de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al mismo.
Como otra cuestión muy destacable, cabe citar las novedades introducidas en materia de transparencia e información sobre el tratamiento de los datos personales de los interesados. En este sentido, las empresas han de facilitar a sus clientes una información sensiblemente más amplia que la exigida por la antigua Ley Orgánica 15/1999. Así mismo, dicha información ha de ser facilitada en un formato conciso, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
De tal manera, el actual marco normativo de protección de datos aconseja un modelo de información por capas o niveles, que presente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos del interesado, y que remita a una información amplia y detallada en un segundo nivel, más adecuado para su presentación. Estas consideraciones han de ser tenidas en cuenta en todos los formularios y solicitudes de recogida de datos personales de los clientes, en función de las actividades concretas desarrolladas por cada empresa en particular.
Finalmente, otra de las claves para garantizar la protección de los datos personales en cualquier empresa es la formación e información que se facilite a las personas involucradas en el tratamiento de los mismos, educándolas en la denominada cultura de protección de datos. En su consecuencia, el personal debe ser convenientemente informado acerca de sus obligaciones en relación con el cumplimiento de la normativa europea y española de protección de datos personales, recibiendo el apropiado conocimiento, capacitación y actualizaciones regulares de la política de protección de datos de la empresa.
EL CUMPLIMIENTO ENTENDIDO COMO UN PROCESO CONTINUO
El cumplimiento con el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018 es un proceso continuo que no se agota con la implantación en la organización responsable de un sistema de protección de datos adaptado al citado marco normativo, sino que requiere de una serie indefinida de fases posteriores de revisión y corrección del sistema, con carácter regular y programadas en el tiempo. En tal sentido, el proceso de cumplimiento no se limita a la mera «fotografía» de un momento temporal concreto, sino que se iguala a una «película» o ciclo continuo de cumplimiento, basado en la revisión y corrección regulares del sistema de protección de datos implantado en la empresa responsable.
“ES TRASCENDENTAL LA REALIZACIÓN DE CONTROLES REGULARES Y AUDITORÍAS PROGRAMADAS PARA LA CONTINUA REVISIÓN DEL SISTEMA DE PROTECCIÓN DE DATOS Y LA VERIFICACIÓN DE LA EFICACIA DEL MISMO, ASÍ COMO LA ADOPCIÓN DE LAS MEDIDAS CORRECTORAS O COMPLEMENTARIAS QUE EN SU CASO SEAN NECESARIAS PARA GARANTIZAR UN CORRECTO CUMPLIMIENTO NORMATIVO”
De tal modo, para un cumplimiento diligente y responsable de la normativa de protección de datos personales, es trascendental la realización de controles regulares y auditorías programadas para la continua revisión del sistema de protección de datos y la verificación de la eficacia del mismo, así como la adopción de las medidas correctoras o complementarias que en su caso sean necesarias para garantizar un correcto cumplimiento normativo.
No en vano, el Reglamento (UE) 2016/679 establece que los responsables del tratamiento deben establecer, entre otros, «un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento» (art. 32.1 d)). Ello exige la realización de controles y auditorías periódicas de verificación, entre otros aspectos, de la eficacia de las medidas de seguridad implantadas en la organización, con independencia del riesgo a que estén sometidas las actividades de tratamiento (riesgo estándar o alto riesgo).
En tal sentido, el periodo de realización de los referidos controles y auditorías no debe dilatarse excesivamente, pues durante ese lapso de tiempo pueden acontecer eventos o petrificarse deficiencias en el sistema de protección de datos que afecten negativamente a los derechos y libertades de los interesados. A contrario sensu, el acortamiento de los plazos de realización de los controles y auditorías periódicas minimiza los riesgos de materialización de posibles amenazas para la protección de los datos personales de los interesados.
En relación con el caso concreto de las auditorías, el anterior Real Decreto 1720/2007 establecía una periodicidad mínima de dos años para la realización de la auditoría de cumplimiento de las medidas de seguridad. El Reglamento (UE) 2016/679 no establece un periodo concreto en lo tocante al particular, si bien pueden tomarse como referencia estándares internacionalmente aceptados en materia de seguridad de la información (ej., ISO 27001), que recomiendan la realización de dicha auditoría con una periodicidad anual.
En cualquier caso, un periodo que fuese superior a los dos años que establecía el anterior Real Decreto 1720/2007 parece antojarse algo excesivo, pues en ese periodo de tiempo es altamente improbable que no acontezca ni un solo evento en el sistema de información que pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
ASESORÍAS Y DESPACHOS PROFESIONALES COMO DINAMIZADORES DE PROTECCIÓN DE DATOS PERSONALES EN EL ÁMBITO EMPRESARIAL
Las asesorías y despachos profesionales están llamados a desempeñar un papel transcendental en la concienciación y sensibilización de sus clientes acerca de las obligaciones que les incumben en relación con el cumplimiento de la normativa de protección de datos personales.
En este sentido, los retos que las empresas tienen por delante en esta materia son de un calado muy importante, pues solo aquellas que sepan proteger adecuadamente la información personal de sus clientes generarán la confianza necesaria para ser lo suficientemente competitivas en la sociedad digital e hiperconectada del siglo XXI.
En AUDIDAT ponemos en valor la figura del asesor o profesional como un agente dinamizador de primer orden en relación con la protección de datos personales en el ámbito empresarial español, haciendo posible la colaboración y cooperación entendida como forma de aunar esfuerzos, crear equipo y obtener sinergias positivas tanto para los profesionales como para los clientes, con un servicio integral de calidad y rapidez para satisfacer las necesidades de sus clientes en cumplimiento de la normativa vigente de Protección de Datos y Seguridad de la Información.
