¿Vamos a tener una nueva LOPD adaptada a las exigencias del reglamento europeo de protección de datos antes del 25 de mayo? Te lo pregunto porque, por lo que tengo entendido, hay un proyecto de la nueva ley en el Congreso al que se le están haciendo enmiendas, pero no sé si va a haber una aprobación a tiempo.
J. Y.: Difícil de contestar…. Actualmente el proyecto de ley orgánica de protección de datos está en el Congreso desde noviembre de 2017. Sin embargo, no ha sido hasta el pasado mes de febrero cuando comenzó el debate parlamentario. Superó una enmienda a la totalidad, hubo una comparecencia en el congreso de la directora de la Agencia Española de Protección de Datos explicando este proyecto hace escasamente una semana, y continúan los trámites parlamentarios. ¿Llegará a tiempo? Parece difícil en tanto en cuanto en el debate de enmienda a la totalidad, los distintos grupos adelantaron que presentarán enmiendas parciales, por lo que la aprobación final puede demorarse.
“No existirá un vacío jurídico como tal, pero sí una inseguridad importante”
¿Qué consecuencias tendría el no contar antes del 25 de mayo con una ley nacional que regule esta materia? ¿Existe riesgo de que se dé inseguridad jurídica y que las empresas se expongan a elevadas sanciones por ese motivo?
J. Y.: La realidad es que no existirá un vacío jurídico como tal, pero sí inseguridad, y una inseguridad importante. El motivo es que, sin que este proyecto de ley entre en vigor, el Reglamento Europeo convivirá a partir de mayo con la actual LOPD y el RD 1720/2007 en aquellos aspectos en los que estas dos normas no contradigan al Reglamento, por lo que comenzaríamos con criterios interpretativos que hacen flaco favor a la seguridad jurídica.
No cabe duda de que la norma a aplicar va a ser el Reglamento, y, de hecho, la nueva ley que se apruebe tampoco puede contradecir al Reglamento, sino especificar en aquellos aspectos donde éste lo permita. Sin embargo, esas especificaciones son las que están haciendo que muchas empresas estén a la espera de saber con qué han de cumplir finalmente.
En líneas generales, ¿qué cambios o matizaciones introduce el proyecto de la nueva LOPD frente al marco más general del GDPR europeo?
J. Y.: Pocas novedades, pero alguna importante: el consentimiento de menores a partir de los 13 años, ejercicio de derechos para familiares de personas fallecidas, ciertas especificaciones en el caso de ficheros de solvencia patrimonial (o comúnmente llamados ficheros de morosos) y, lo más importante, se define con mayor claridad qué sectores necesitan un delegado de protección de datos (DPO).
“No creo que las sanciones sean un factor impulsor para la adaptación del GDPR”
¿Cómo van las empresas españolas en su adaptación a la nueva legislación de protección de datos?
J. Y.: A marchas forzadas, pero no sólo en España, sino en toda Europa. En el caso de España, la inseguridad creada por la “nueva LOPD” ha hecho que en muchas ocasiones se haya esperado para adaptarse al Reglamento, y es una adaptación difícil, principalmente por ese giro de mentalidad hacia el análisis de riesgos y la “autoevaluación”. Pero en general, estamos encontrando que en España tenemos más facilidad para cumplir con ciertos requisitos del Reglamento, como la creación de un registro de actividades de tratamiento, que en otros países.
Entiendo que las grandes cuentas y el sector público ya habrán andado adelantado mucho. ¿Es así?
J. Y.: Efectivamente, a día de hoy son las grandes cuentas las que están poniendo en marcha el panorama de adaptación al Reglamento Europeo en España. Generalmente son empresas que están más acostumbradas a los cambios, que tienen que cumplir con otras normativas, incluso a nivel internacional, y, en muchos casos, incluso con sistemas de gestión de algún tipo o de certificación, por lo que han sido previsoras comenzando sus adaptaciones al menos desde hace un año.
¿Y qué pasa con las pymes?
J. Y.: Lógicamente va más lento. La protección de datos aún se percibe por muchas pymes, micropymes y autónomos como un “mal” que debe acometerse sin entender muy bien por qué. Sin embargo, el Reglamento va a hacer que las pymes se adapten mucho más rápido, por un efecto llamada clave; y es que impone a las empresas la diligencia en la elección de proveedores, de forma que tendrán que valorar si cumplen de forma adecuada con la normativa. Esto va a hacer (y lo está haciendo ya) que grandes empresas estén preguntando a sus proveedores, en muchos casos pymes, cuál es su grado de adecuación, tanto a nivel legal como a nivel de medidas de seguridad, lo que hace que estas pymes, ya no por un tema de concienciación, sino de perder un cliente importante, comiencen la adaptación.
“La elección del delegado de protección de datos o DPO no está siendo una tarea fácil”
Écija asesora a muchas compañías en esta transición. ¿Cuáles son los puntos de GDPR que más está costando asumir a las empresas?
J. Y.: Sin duda los siguientes aspectos: modificación de las cláusulas de consentimiento informado para permitir al interesado sobre qué da su consentimiento y sobre qué no (especial importancia en comunicaciones comerciales y cesiones), la diligencia en la elección de los proveedores y la modificación de los contratos con estos, la realización de los análisis de riesgos y evaluaciones de impacto, lo que supone un cambio de mentalidad total que supone una auténtica novedad para la gran mayoría de las empresas españolas, y, por último, la adopción de medidas de seguridad, más si cabe tras la publicación de la guía sobre protección de datos de ENISA, que viene a equiparar las medidas de seguridad técnicas recomendadas con controles habituales de la familia de ISO 27000, lo que supone un refuerzo muy importante de estas medidas. Por último, está la elección del delegado de protección de datos o DPO, que no está siendo fácil. Muchas empresas no saben si optar por una figura interna, externa, más enfocada al ámbito legal, o más enfocada al ámbito de seguridad, ya que perfiles mixtos son muy difíciles de encontrar.
¿Y en qué puntos la adaptación está siendo más fácil?
J. Y.: Sin duda en la realización del registro de actividades de tratamiento. Contábamos con una muy buena base con los antiguos ficheros registrados ante la Agencia Española de Protección de Datos y las auditorías bienales, donde las empresas ya eran conscientes de qué tipo de tratamientos realizaban. Han tenido que especificarse más, pero se contaba con mucha información y una muy buena base.
¿Está de acuerdo con algunos expertos que dicen que el ritmo de adaptación dependerá sobre todo de que haya o no multas sonadas?
J. Y.: Yo no soy muy partidario del miedo a las sanciones… Es un miedo que también se tuvo con la LORTAD y nuestra LOPD, y al final ha sido más una cuestión de probabilidad en función del sector empresarial, y de ser diligentes en el tratamiento de datos. ¿Ha habido sanciones? Por supuesto, algunas desde mi punto de vista totalmente fundamentadas, y otras no tanto, pero tampoco creo que haya habido una persecución a la empresa privada, sino una respuesta de la Agencia ante denuncias presentadas por particulares que ven vulnerados sus derechos. No creo que las sanciones sean un factor impulsor. En cambio, ese efecto “llamada” del que hablaba anteriormente me parece esencial: ya no es un miedo a que me pongan una sanción; es miedo a que si no adapto mi empresa y mis sistemas, es probable que mis clientes prescindan de mis servicios… y esto ya son palabras mayores.
