• El sentir general es que ya nadie puede decir que desconoce las obligaciones en materia de privacidad
• El ciudadano goza de una mejor y mayor protección fruto de ese esfuerzo que pequeñas y grandes empresas realizan en su gestión de datos personales
• Muchas empresas no han previsto estas situaciones a través de un sencillo plan de contingencia

Desde que entró en vigor el Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679) -conocido por RGPD o GDPR- el esfuerzo por cumplir la normativa y gestionar los datos personales por parte de las organizaciones ha experimentado un notable incremento. El sentir general es que ya nadie puede decir que desconoce las obligaciones en materia de privacidad.

Incluso podemos afirmar, en general, que el ciudadano goza de una mejor y mayor protección fruto de ese esfuerzo que pequeñas y grandes empresas, organizaciones de todo tipo y entidades privadas y públicas realizan en su gestión de datos personales. Se ha ganado en transparencia, en sensibilidad tanto de los propios interesados -cada uno de nosotros- como de las entidades -sobre todo las pequeñas pues las más grandes ya lo tenían más interiorizado- que, por fin, han dedicado recursos y tiempo a la protección de los datos personales.

El principio de responsabilidad proactiva acuñado en el propio RGPD implica un deber de vigilancia constante en los procesos y en el cumplimiento de las obligaciones. Obligaciones que se han reforzado y algunas, como la de comunicar las brechas de seguridad a la autoridad de control, exigen un conocimiento general de cuando estamos realmente ante una brecha.

Sin ir más lejos. La semana pasada se incendiaron los data center de la empresa OVH en Luxemburgo. Esta empresa, líder en servicios de alojamiento, ofrece diferentes servicios que las empresas contratan bien directamente o bien a través de terceros que gestionan sus servidores. Este incendio supone una desgracia que lógicamente ha tenido consecuencias en miles de clientes que alojaban su información allí, incluyendo copias de seguridad.

Si quien tenía la información en dichos servidores, contaba con sus copias de seguridad en otra ubicación ha sufrido el lógico perjuicio de ver su servicio interrumpido durante un tiempo mientras que procede a la restauración de sus sistemas (en el mejor de los casos). Otros, tal vez lo han perdido todo. Y aquí el RGPD tiene algo que decir.

De los pocos pronunciamientos que realiza la norma en materia de seguridad uno tiene que ver con la “capacidad para garantizar la disponibilidad y resiliencia permanente de los sistemas y tratamientos” y “la capacidad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico”. Lo mismo estamos viviendo con el ataque sufrido al Servicio Público de Empleo Estatal (SEPE) ya saturado por la situación de los últimos meses y que ha sido víctima de un ataque que le ha dejado fuera de servicio imposibilitando las tramitaciones.

Muchas empresas no han previsto estas situaciones a través de un sencillo plan de contingencia. La capacidad de restaurar dependerá del tipo de información y datos alojados: no es lo mismo un taller mecánico que un hospital y si bien en el primer caso los tiempos de restauración podrían ser mayores, todos convenimos en que en un hospital, por ejemplo, la falta de disponibilidad de determinados datos puede poner en peligro la salud de las personas. Aquí es donde debe trabajarse caso por caso según la tipología del negocio, la información y los datos tratados y la exigencia de disponibilidad que la propia entidad se marque.

La Agencia Española de Protección de Datos caracterizada históricamente en la era pre-RGPD por ser una de las más duras en sanciones, inició el camino del RGPD con sanciones moderadas que se han incrementado progresivamente hasta límites ciertamente discutibles. Lo que estamos observando en el resto de los países de la Unión Europea es que muchas de las sanciones impuestas por las autoridades de protección de datos van a ser objeto de moderación y de reducción por parte de los tribunales de justicia.

Y es que cumplir estrictamente no es nada fácil y quizás este es el mayor reto al que se enfrentan las organizaciones: precisamente aquellas con sanciones más elevadas son las que suelen tener unos protocolos de cumplimiento normativo más estrictos. La responsabilidad proactiva antes citada, exige un estado de vigilia permanente en lo que a la protección de los datos personales se refiere. Y según cómo se haya diseñado, puede resultar insuficiente: falta de transparencia, ausencia de seguimiento de la gestión delegada en proveedores, medidas de seguridad insuficiente e incluso transferencias internacionales no detectadas sin garantías por parte del proveedor.

En los casos arriba señalados, si la empresa no ha previsto por ejemplo la copia de seguridad y pierde los datos personales, podría ser incluso objeto de sanción por parte de las autoridades de protección de datos.

Unas ideas clave para terminar:

1. El paso de la normativa anterior al RGPD en lo que a la “responsabilidad proactiva” se refiere, está siendo uno de los aspectos más complicados de interiorizar en una organización.
2. Los procesos de cumplimiento normativo son procesos de mejora continua que en un bucle de planificación, acción y revisión constantes exigen ahondar constantemente en cómo se hacen las cosas.
3. No hay patrones preestablecidos: lo que es válido en una organización, puede no serlo -incluso constituir una infracción- en otras. El enfoque “desde el riesgo” y la privacidad “desde el diseño y por defecto” son los principios básicos que todo proceso de cumplimiento de la protección de los datos debe observar.
4. Los procesos de mejora continua antes citados exigen recursos. No todas las empresas disponen de ellos. Existen herramientas facilitadas por la Agencia Española de Protección de Datos que pueden ayudar pero la experiencia demuestra que detectar situaciones de riesgo no siempre es fácil.
5. Bajar la guardia no es una opción: a veces por falta de recursos, por establecer otras prioridades -el último año ha descolocado a todas las empresas-, o bien por puro desconocimiento de las consecuencias, dejar de lado el deber de vigilancia permanente en esta materia, puede salir caro.
6. Por último, es fundamental involucrar a toda la entidad en el cumplimiento pues esa primera línea de defensa que son los trabajadores es clave. Una organización orientada al cumplimiento desde su base hasta su dirección estará mejor preparada para afrontar los retos a los que se enfrenta la defensa de la privacidad.

Sobre la autora: 

Paz Martín es abogada por el Ilustre Colegio de Abogados de Madrid. Es Auditor Jefe ISO 27001 y Especialista implantador ISO 27001 por AENOR. Es miembro de la Asociación Española de Profesionales de la Privacidad (APEP), ISMS Forum y ENATIC. Su carrera profesional abarca las materia de protección de datos y nuevas tecnologías, propiedad industrial (especialmente en marcas y nombres de dominio) y propiedad intelectual. Presta servicios como consultora y Delegado de Protección de Datos a empresas.