NoticiasProtección de datos

¿Qué ha sido del GDPR?

Han pasado cuatro meses de su obligatoriedad, y la firma ISACA hace balance de cómo está evolucionando este reglamento en los diferentes sectores.

Ya se han cumplido cuatro meses desde la entrada en vigor en todo el territorio de la UE del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales en cualquier ámbito público. La Asociación de expertos en ciberseguridad y protección de datos ISACA Madrid, ha recabado los datos y conclusiones con los que perfilar el estado de implantación de la normativa en nuestro país.

La Agencia Española de Protección de Datos  (AEPD)ha trabajado estos cuatro meses elaborando guías relativas al RGPD, como la relacionada con la gestión y notificación de brechas de seguridad, y la aportación de unas pautas de cuándo deben comunicarse estas a los particulares.

Entre las resoluciones  que destacan por la cifra, están  las relativas al incumplimiento del derecho de rectificación y cancelación (259), las relativas a la falta de Consentimiento inequívoco (161), y empatan  los incumplimientos a la hora de utilizar datos para finalidades no compatibles con aquellas por las que se recogieron y con el derecho de acceso a los datos recogidos (94 resoluciones). De aplicación directa del RGPD tan solo se han producido 3 resoluciones; una relacionada con la licitud del tratamiento de datos, y dos por relacionadas con la violación de la seguridad de los datos personales.

Los servicios internet y los ficheros de morosos, los sectores más incumplidores

Desde el punto de vista de la actividad empresarial, comercial o social de las empresas o colectivos objetos de resolución, las cifras indican que los más incumplidores son los servicios de Internet (145), los ficheros de morosidad (122), las actividades de videovigilancia (117), 65 resoluciones por contratación fraudulenta y 60 de incumplimientos procedentes de la administración pública.

Al lado contrario de la tabla se encuentran los profesionales en general, la seguridad privada,  o los colegios profesionales, con una única resolución cada uno, los sindicatos, que han tenido solo 3 al igual que las referidas a la pérdida de datos en papel, es decir, datos aparecidos en la basura.

¿Qué se está haciendo y qué se debe hacer?

Según los expertos, es necesario involucrar cuantas más personas de una empresa (técnicos, comerciales, quien sea) para que todos sepan a quién preguntar cuando surgen dudas con la normativa.

  • Las empresas llegaron hasta el 25 de mayo con mucho “nervio”, y como han visto que no pasa nada grave, se han relajado.
  • Es imprescindible implantar y bien los procedimientos. No se está haciendo.
  • Los que no habían hecho nada se han puesto las pilas de manera sorprendente
  • Preocupa el tema de las medidas de seguridad, la brecha de seguridad y no solo las grandes que salen en prensa, las de pymes, micropymes, etc.
  • Se está en una primera fase, que va perdiendo fuelle, que cambiará cuando se aplique la primera gran sanción y todos querrán cumplir con el Reglamento. Para ello, hay que documentar los riesgos, minimizarlos y así tener preparadas las defensas ante la AEDP.
  • La mayor parte de los errores son humanos y se pueden evitar con formación, con ejemplos reales. Muchos no son intención de daño, son tonterías, y se solucionan con formación. Ojo, que la falta de intención no te evita la sanción.
  • Una buena práctica es realizar pruebas reales en las empresas para ver el grado de madurez de la protección y privacidad de los datos entre los empleados.
  • Hay que intentar vender el RGPD como ventaja competitiva desde punto de vista de la responsabilidad social corporativa. Es un derecho constitucional.

El estado actual de implantación presenta las siguientes conclusiones:

  • El Reglamento es un documento muy general que permite interpretaciones muy amplias o muy reducidas
  • Es un galimatías: hay una clara falta de claridad respecto al modo de aplicar el reglamento y esto genera una cierta inseguridad.
  • En cuanto a organización, se ha detectado una falta de directrices claras dentro de las empresas respecto  a quién hace qué internamente.
  • Se están publicando normativas en los diferentes países de la UE adaptado el Reglamento a la normativa local
  • En España se ha aprobado el Real Decreto Ley 5/2018 de medidas urgentes  para adaptar el Derecho español a la normativa de la UE en materia de protección de datos. En Bélgica se acaba de aprobar la normativa, y en otros países aún están en periodo de consulta pública.
Computing 783