¡Ha pasado 5 años desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en España y en toda Europa! Este hito nos brinda la oportunidad de reflexionar sobre los logros y desafíos de esta regulación en materia de privacidad y protección de datos.
En la siguiente entrevista, nuestro equipo de consultoría especializado en este campo, nos comparte su valiosa experiencia y conocimientos sobre el RGPD en España.
Exploramos diversos aspectos relacionados con el RGPD: entendiendo los efectos de esta normativa desde la óptica del usuario y desde la perspectiva de las empresas; nos adentramos en la valoración de la figura del Delegado de Protección de Datos (DPD) desde su introducción; el nivel de madurez de las empresas en cuanto al cumplimiento del GDPR y si las organizaciones se apoyan en la tecnología para facilitar el cumplimiento y cómo han evolucionado los desafíos a lo largo de estos cinco años contemplando los avances tecnológicos y los cambios en el panorama digital.
Descubre las perspectivas y reflexiones sobre el pasado, presente y futuro de esta importante regulación en materia de protección de datos y privacidad.
1. Se acaban de cumplir 5 años de la entrada en vigor del GDPR en España (y Europa). ¿Qué balance se puede hacer?
El balance es positivo, en la medida en que cada vez existe mayor concienciación en la protección de los datos personales.
En España y Europa esta tendencia al cumplimiento se ha notado de manera exponencial con la entrada en vigor del RGPD, y a su vez, en muchos otros países de Latinoamérica se están implantando modelos de cumplimiento muy similares. En consecuencia, se puede deducir que es un sistema maduro y garantista para el usuario.
No obstante, es un trabajo que no puede quedar estanco, todo lo contrario. Las Autoridades de Control deben seguir trabajando en recomendaciones porque el uso del dato personal es incesante y cada vez los tratamientos van a ir ligados a tecnologías más innovadoras, que podría suponer grandes riesgos para los usuarios.
2. Si pensamos en el usuario, en su privacidad ¿Qué ha supuesto la entrada del RGPD? ¿El usuario está más protegido y siente que es así?
La entrada del RGPD ha supuesto, sobre todo, una mayor transparencia del uso del dato personal. Aunque anteriormente ya se contaba con políticas de privacidad, el RGPD ha dotado de mayor transparencia a las mismas. No sólo el contenido es más extenso, sino que éstas deben ser más accesibles.
Por tanto, la principal mejora que nota el interesado es que es más consciente del uso que se hace de sus datos personales, lo que conlleva también una mayor confianza y seguridad.
3. Desde el punto de vista de las empresas, ¿Cuáles han sido los principales desafíos en la implementación del RGPD?, ¿Qué áreas son las más complicadas o problemáticas?, ¿Cómo se valora la figura del DPD desde su implantación?
En su momento, el principal desafío fue abordar los Análisis de Riesgos y las Evaluaciones de Impacto sin todavía directrices claras respecto a metodologías. Hoy en día, la AEPD ya se ha pronunciado al respecto y nos ha ido guiando con la recomendación de factores de riesgos a aplicar.
No obstante, aquellas áreas que manejan grandes volúmenes de datos o tecnologías muy innovadoras siguen siendo las más complicadas de evaluar. En esos casos, contar con Delegados de Protección de Datos con perfiles cualificados resulta imprescindible para que, en conjunto con las guías y recomendaciones de la AEPD, las empresas tengan claro cómo abordar determinados tratamientos de datos personales. De hecho, son muchas las empresas que, aún no teniendo obligatoriedad de nombrar esta figura, cuenta con ella entre su plantilla o recurren a contratar perfiles externos.
4. ¿Qué nivel de madurez tienen las empresas? ¿Se apoyan en la tecnología para facilitar el cumplimiento? ¿Qué desafíos tienen hoy en día, 5 años después?
Hoy en día el grueso de empresas españolas cuenta ya con sistema de gestión de datos personales y, efectivamente, muchos de estos sistemas vienen soportados en softwares que facilitan y automatizan el trabajo a las empresas.
El principal desafío sigue siendo dotar de la madurez suficiente a dichos sistemas de gestión para que estos alcancen una madurez adecuada que permita dar respuesta a cualquier desafío o incidente que tenga repercusión en materia de datos personales, por ejemplo, mediante auditorías periódicas.
Otro desafío importante es generar en la plantilla de las empresas concienciación respecto al uso del dato personal y que todo proceso que implique tratamiento de datos personales sea puesto valor para su correspondiente análisis y abordaje, cumpliendo todas las garantías de confidencialidad, integridad y disponibilidad para el usuario.
5. Respecto a la AEPD, ¿cuál está siendo su papel como organismo regulador?
El papel de la AEPD está siendo clarificador. Hay bastante proactividad en lo que a la emisión de guías y recomendaciones se refiere. A pesar de que el RGPD sienta las bases del tratamiento de los datos, se hace necesario que las Autoridades de Control se pronuncien en determinados aspectos de cumplimiento y guíen a las AAPP y a las empresas privadas para garantizar un cumplimiento efectivo.
A nivel de acción sancionatoria, son numerosos los procesos que derivan en sanciones económicas, tanto a entidades de gran volumen como a entidades de pequeña escala. Ello denota que la AEPD es proactiva en la consecución del cumplimiento de la regulación, inspeccionando cualquier tipo de actitud contraría a la normativa.
6. ¿Cómo están siendo las sanciones por incumplimiento del RGPD?
El pasado 23 de abril la Agencia Española de Protección de Datos ha publicado su memoria anual 2022. Para tener una visión retrospectiva de la actividad de la agencia desde la aplicación del RGPD se debería acudir a la memoria anual 2019 y hacer una comparativa de las memorias de la entidad de control a lo largo de estos años. Para quien pueda estar interesado en este análisis, las memorias se encuentran publicadas en la página web de la Agencia Española de Protección de Datos en el apartado publicaciones y resoluciones.
A modo de resumen y en relación con la actividad supervisora de la agencia durante el año 2022, se indican a continuación algunos datos interesantes:
- Conforme a datos de la Memoria, en 2022 se han presentado ante la Agencia 15.128 reclamaciones, lo que supone un aumento de un 9% respecto a 2021 y un 47% respecto a 2020. Esta cifra asciende a las 15.822 incluyendo los casos transfronterizos procedentes de otras autoridades de control europeas y los casos en los que la Agencia actúa por iniciativa propia. En 2021 las reclamaciones resueltas han seguido aumentado (+6%), lo que refleja el compromiso de la Agencia con la resolución de reclamaciones en un contexto de persistente aumento de las recibidas.
- Las áreas con procedimientos sancionadores más frecuentes son videovigilancia, servicios de internet, publicidad, administración electrónica, brechas de seguridad, spam, asuntos laborales, sanidad, publicidad, comercio-transporte y hostelería y contratación fraudulenta.
- En 2022 se interpusieron tres multas con importes superiores a 1 millón de €, a Caixabank, Amazon y Google. En otro casos, las áreas con mayor importe global de sanciones son: servicios de internes, publicidad, asuntos laborales, brechas de seguridad, contratación fraudulenta y telecomunicaciones.
Puedes encontrar más información sobre recientes sanciones en nuestro artículo «Sanciones RGPD recientes: Comentarios y ejemplos».
7. ¿Cómo veis el futuro de la protección de datos y la privacidad en la Unión Europea? ¿Habrá más regulaciones y normativas en el futuro?
Sin duda. Desde el RGPD, no se ha producido una pausa en la capacidad legisladora, ni mucho menos.
Tenemos muchos ejemplos:
- la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección,
investigación y enjuiciamiento de infracciones penales y de ejecución
de sanciones penales. - el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
Y nos quedan temas por analizar como la inteligencia artificial, y demás retos que la tecnología nos vaya planteando y que, necesariamente, habrá que regular.
8. ¿Cómo encaja el GDPR en un mundo globalizado con empresas internacionales?
De la única forma que puede hacerlo, esto es, como piedra angular del cumplimiento normativo de una gran región como en Europa, epicentro de una grandísima parte del comercio mundial (en todos los sectores e industrias), y, en consecuencia, del tratamiento de datos que esto supone.
El RGPD se ha erigido como la norma “local” de más importancia en el mundo globalizado que da la relevancia que verdaderamente tienen principios como la privacidad, la confidencialidad y la integridad de la información. Buena muestra de ello es algo de lo que hemos hablado ya antes: los países de Latinoamérica quieren alinearse con nuestras reglas normativas ya que han entendido, lógicamente, que este es el camino.
9. ¿Crees que, a la luz de los avances tecnológicos y otros cambios en el panorama digital, el Reglamento General de Protección de Datos (GDPR) necesita ser actualizado en profundidad o crees que sigue siendo efectivo en su forma actual?
En nuestra opinión, el RGPD aún es una norma joven, se está desarrollando y andando un camino, que a pesar de ser ya de 5 años, es un camino incipiente.
Con esto no se quiere decir que no sea una norma mejorable en algunos aspectos, pero quizás no sea su reforma el paso necesario.
En la medida en la que el RGPD permite su adecuación local a través de la propia legislación nacional (sin olvidar que es una norma de directo cumplimiento), es más viable la adecuación local en cada país a través de leyes propias capaces de albergar la casuística concreta de cada caso.