¿Qué tal nos va con el RGPD después de 4 meses implantado?

Ya se han cumplido cuatro meses desde la entrada en vigor en todo el territorio de la UE del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales en cualquier ámbito público. La Asociación de expertos en ciberseguridad y protección de datos ISACA Madrid , ha recabado los datos y conclusiones con los que perfilar el estado de implantación de la normativa en nuestro país.

La Agencia Española de Protección de Datos (AEPD) ha trabajado estos cuatro meses elaborando guías relativas al RGPD, como la relacionada con la gestión y notificación de brechas de seguridad, y la aportación de unas pautas de cuándo deben comunicarse estas a los particulares.

También ha editados varias útiles guías sectoriales: sobre protección de datos de fincas, compras en internet, privacidad y seguridad en la red, protección de datos y los ayuntamientos, protección de datos y la prevención de los delitos, fugas de información en despachos de abogados, cuando se trabaja con proyectos big data, guía para acertar con los procedimientos de anonimización de datos personales, para los clientes  y  prestadores de servicios de Cloud Computing, y para el cuidado que debe ponerse cuando se utilizan aplicaciones y plataformas en la nube por parte de profesores y alumnos en los centros educativos.

Los profesionales de ISACA destacan también la labor de las infografías realizadas por la Agencia, orientadas a educar a los ciudadanos con temas como “cómo evitar la publicidad no deseada”, los “derechos que tienes para proteger tus datos personales” o el “decálogo de protección de datos para el personal sanitario y administrativo”.

Y, por supuesto, la AEPD ha realizado sus labores inspectoras, y tras la aplicación de la normativa europea, los datos recogidos dejan claros cuáles han sido las resoluciones (798), los procedimientos sancionadores (131) y las tutelas de derechos (302).

Rectificación, cancelación y falta de consentimiento, las que más

Entre las resoluciones  que destacan por la cifra, están  las relativas al incumplimiento del derecho de rectificación y cancelación (259), las relativas a la falta de Consentimiento inequívoco (161), y empatan  los incumplimientos a la hora de utilizar datos para finalidades no compatibles con aquellas por las que se recogieron y con el derecho de acceso a los datos recogidos (94 resoluciones). De aplicación directa del RGPD tan solo se han producido 3 resoluciones; una relacionada con la licitud del tratamiento de datos, y dos por relacionadas con la violación de la seguridad de los datos personales.

Los servicios internet y los ficheros de morosos, los sectores más incumplidores

Desde el punto de vista de la actividad empresarial, comercial o social de las empresas o colectivos objetos de resolución, las cifras indican que los más incumplidores son los servicios de Internet (145), los ficheros de morosidad (122), las actividades de videovigilancia (117), 65 resoluciones porcontratación fraudulenta y 60 de incumplimientos procedentes de la administración pública.

Al lado contrario de la tabla se encuentran los profesionales en general, la seguridad privada,  o los colegios profesionales, con una única resolución cada uno, los sindicatos, que han tenido solo 3 al igual que las referidas a la pérdida de datos en papel, es decir, datos aparecidos en la basura.

Panorama de la aplicación GDPR según los profesionales del sector

El RGPD afecta a todas las empresas, grandes y pequeñas. Es en las primeras donde su implantación tiene un coste muy superior, proporcionalmente, sobre las pequeñas. Toda empresa maneja datos de empleados, clientes, proveedore… y tiene que documentar los flujos de los datos, realizar un análisis básico de riesgos y determinar las medidas técnica y/u organizativas que mitiguen dichos riesgos.

La AEPD generó una herramienta para ayudar a determinar el nivel de riesgo, esta no documenta los flujos, ni genera los procedimientos para satisfacer el ejercicio de los derechos de los interesados, informar brechas de seguridad, etc… y todo esto lleva, además de inversiones y costos, tiempo.

¿Qué se está haciendo y qué se debe hacer?

Según los expertos, es necesario involucrar cuantas más personas de una empresa (técnicos, comerciales, quien sea) para que todos sepan a quién preguntar cuando surgen dudas con la normativa.

• Las empresas llegaron hasta el 25 de mayo con mucho “nervio”, y como han visto que no pasa nada grave, se han relajado.
• Es imprescindible implantar y bien los procedimientos. No se está haciendo.
• Los que no habían hecho nada se han puesto las pilas de manera sorprendente
• Preocupa el tema de las medidas de seguridad, la brecha de seguridad y no solo las grandes que salen en prensa, las de pymes, micropymes, etc.
• Se está en una primera fase, que va perdiendo fuelle, que cambiará cuando se aplique la primera gran sanción y todos querrán cumplir con el Reglamento. Para ello, hay que documentar los riesgos, minimizarlos y así tener preparadas las defensas ante la AEDP.
• La mayor parte de los errores son humanos y se pueden evitar con formación, con ejemplos reales. Muchos no son intención de daño, son tonterías, y se solucionan con formación. Ojo, que la falta de intención no te evita la sanción.
• Una buena práctica es realizar pruebas reales en las empresas para ver el grado de madurez de la protección y privacidad de los datos entre los empleados.
• Hay que intentar vender el RGPD como ventaja competitiva desde punto de vista de la responsabilidad social corporativa. Es un derecho constitucional.