El Data Privacy Institute (DPI) de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum, presentó el pasado jueves el “Estudio de impacto y comparativa con normativa española de la propuesta de reglamento de protección de datos de la UE” en un encuentro celebrado en Madrid que reunió a autoridades y profesionales con el objetivo de analizar la nueva normativa sobre privacidad, que previsiblemente entrará en vigor en 2014.
Carlos Saiz es Vicepresidente de ISMS Forum y Subdirector del DPI. En esta entrevista recomienda a las empresas a adelantarse a los cambios y reflexiona sobre dónde nos lleva el futuro del Reglamento.
– ¿Qué novedades incorpora el Reglamento de la UE sobre protección de datos?
Resaltar un solo aspecto es complicado porque es un Reglamento muy ambicioso dado que todas las empresas y organismos de la Unión Europea se regirán por una misma norma. Como lado positivo, se va a ganar cierta unidad y homogeneización de criterios en cuanto a la interpretación de la normativa, por lo que habrá algo más de seguridad jurídica. Y como reto o cambio, el Reglamento habla de figuras a las que no estamos acostumbrados aquí en España como son el “Accountability”, el “Privacy impact assessment” o el “Privacy by design”. Todos son conceptos identificados con la cultura anglosajona, muy importantes para poder cumplir con los requisitos que va a establecer en el futuro la normativa europea, y sobre los que tenemos menos conocimiento en la cultura latina.
– ¿Qué significan estos conceptos?
El concepto de ‘Accountability’ no tiene ni siquiera una traducción muy clara en España. Sería algo parecido entre ‘responsabilidad’ y ‘rendición de cuentas’, por decirlo de alguna manera. Lo que pretende es que la organización esté dispuesta a rendir cuentas de cómo ha establecido sus políticas de privacidad y a responder ante las autoridades de control. Deja un poco más de manga ancha a cada organización para poder cumplir la normativa a su manera, pero después tiene una obligación de rendir esas cuentas.
Después tenemos el tema fundamental y algo en lo que nosotros intentamos trabajar con todos los clientes a los que asesoramos, que es el ‘Privacy by design’ (la privacidad desde el diseño). Lo que suele ocurrir es que cuando una compañía está desarrollando un producto que va a lanzar al mercado, en el último momento, cuando ya está todo montado, se pregunta si hay algún problema de privacidad. Ahora se pretende que esto se haga totalmente al revés. Que desde el momento en que se empieza a desarrollar una idea se tengan en consideración los aspectos de privacidad para que el desarrollo del producto o servicio no vaya viciado.
– También hablabas de un tercer concepto, el ‘Privacy impact assessment’.
Sí, este básicamente consiste en hacer un análisis de impacto de privacidad y según los resultados que salgan de ese análisis, se implanten unas medidas u otras. Ahora mismo en España tenemos un Reglamento que desarrolla la ley y que establece tres niveles de privacidad (básico, medio y alto). Lo que nos está diciendo la normativa europea es: “Usted tiene unos datos que no tienen ningún carácter. Ni alto, ni medio, ni bajo. Tiene que hacer un análisis y en virtud de eso puede aplicar más o menos medidas”. Y la duda sobre la que todo el mundo ya está preguntando es “¿Qué metodología tengo que usar para hacer ese análisis de impacto de privacidad?” Porqué claro, los resultados que una empresa pueda hacer para un mismo producto pueden ser muy diferentes a los que pueda hacer otra en virtud de la metodología que pueda utilizar.
– ¿Y no hay una respuesta clara a qué metodología debe usarse, entonces?
A día de hoy no.
– ¿En Europa tampoco?
En Europa hay algunos países que ya han avanzado un poco en estos aspectos, como Inglaterra o Italia. Aquí hay gente que dice que está trabajando en una metodología, pero yo creo que no es está ni certificada, ni clara, ni organizada. No se trata de ningún estándar. Las compañías van a necesitar herramientas para hacer ese análisis de impacto de privacidad.
– Está muy bien que la norma hable de todos estos conceptos, pero si no se aplican correctamente, ¿Qué sanciones se prevén?
El reglamento prevé un régimen diferente al que estamos acostumbrados aquí en España. Aquí las infracciones son leves, graves o muy graves, y eso lleva aparejado horquillas económicas en cuanto a la sanción. Con este nuevo régimen, se prevé hasta un 2% de la facturación de la compañía como posible sanción. Y se tendrán en cuenta tanto los daños que produzca un maltratamiento de los datos como los beneficios que pueda sacar la compañía de ese tratamiento. Ahora mismo, el máximo que se prevé en España por una sanción son 600.000 euros, y sería el caso más grave dentro de una infracción muy grave. Imagínate una empresa que facture 500 millones de euros, que le pongan una sanción de un 2% de su facturación. Estamos hablando de 10 millones de euros de sanción, o algo parecido. Claro, son sanciones que pueden llegar a ser mucho más grandes.
– ¿Este dos por ciento te parece exagerado?
Yo creo que más que acertado o no el porcentaje, lo importante van a ser los criterios que se consideren para poder aplicar la sanción. Lógicamente, una sanción para una compañía que obtenga un beneficio brutal por un mal uso de datos, infringiendo la normativa y que además se pueda acreditar, me parece que puede llegar a ser justa. Ahora bien, para una compañía que haya tenido una brecha de seguridad porque un hacker ha entrado en sus sistemas, me parecería una barbaridad. Creo que es fundamental tener en cuenta el volumen de la compañía y el beneficio que saca haciendo un mal uso de los datos.
– ¿En qué lugar queda la figura del Data Privacy Officer (DPO)?
Ese es otro tema muy importante. Lo que prevé el reglamento es que, efectivamente, va a ser necesaria la figura del DPO para empresas con un cierto tamaño (si no recuerdo mal, las que tengan más de 250 empleados), que será como el encargado de privacidad dentro de la organización. Aquí de nuevo, surgen muchas dudas. Lo que se está empezando a plantear en el mercado es qué tipo de persona debe ser. Hay muchas compañías que lo solucionarían poniendo a un becario y dándole ese título de DPO, pero esa no es la idea. Debe ser una persona que conozca bastante bien la compañía, que tenga muy buenos conocimientos de los temas de privacidad, y que, además, tenga un cierto peso para poder tomar decisiones y elevarlas a un consejo o a un órgano de administración de dirección. Es una figura que tenemos que desarrollar mucho en España, y por ejemplo, dentro del ISMS Forum, estamos trabajando desde hace más de dos años en una certificación profesional que acredita ciertos conocimientos a profesionales de la privacidad.
– ¿Cómo valoráis la puesta en marcha de la certificación después de estos años? ¿Cuántos profesionales la han obtenido?
Si no recuerdo mal, creo que tenemos unos 120 profesionales certificados y la verdad es que hacemos una valoración bastante positiva de la certificación. El reglamento va a promulgar este tipo de cuestiones y yo creo que hemos hecho un buen trabajo para empezar ese camino en España. Pero a mi modo de ver, lo más importante queda aún por hacer. Y es que tanto las organizaciones como los organismos públicos que vayan a fichar a profesionales de privacidad, exijan que los profesionales sean certificados. Y para eso, la mejor manera siempre será que el propio mercado lo exija.
– Por el momento ¿Esa es la única certificación que acredita sobre conocimientos en esta materia?
No, en España también hay la Asociación Profesional Española de Privacidad (APEP), que también tiene una certificación de privacidad.
– ¿Hasta qué punto colisionan una con la otra?
La APEP y nosotros tenemos muy buena relación desde hace tiempo y precisamente hemos abierto una vía en la que estamos estudiando cómo podrían intentar reconocerse las certificaciones, unir contenidos, que una cubra un aspecto y la otra otro (por ejemplo el jurídico y el técnico)… Incluso en el futuro veremos si podrá ser considerada como una sola. Es un camino que todavía está muy inicial, pero por lo menos existe voluntad por parte de las dos asociaciones de encaminarlo.
– Volviendo al borrador del Reglamento, ¿Cuáles son las conclusiones que habéis sacado de la comparativa con la normativa española?
A parte de lo que hemos comentado, en el estudio, lo que hemos hecho son tres bloques con cada uno de los artículos del reglamento. En el primero analizamos si ese aspecto tiene ya algún reflejo con la normativa española (LOPD y Reglamento de desarrollo). En el segundo analizamos las diferencias entre ambas normativas y en el tercero, evaluamos el impacto que tendría el reglamento en la organización española. Es un análisis muy sistemático y muy completo de todos los artículos y el objetivo que perseguimos en el ISMS y en el DPI es que las organizaciones y los asociados de la asociación empiecen a conocer y a tener más a mano lo que parece que nos va a venir encima dentro de un año y medio o dos años.
– ¿Y cuáles son los principales cambios que tendrán que hacer las empresas para adaptarse al Reglamento?
Yo creo que el esfuerzo que van a tener que hacer las compañías será “cultural”. En España vamos a tener que potenciar esa cultura de concienciación de la figura de privacidad porque es verdad que se está trabajando con los temas de protección de datos en las empresas para que cumplan con la normativa, pero al final son dos o tres personas las que realmente están concienciadas (asesorías jurídicas, informática, auditoría y cuatro departamentos más). Con este reglamento las raíces de la privacidad se cuelan en toda la organización. Quieren estar presentes en cada negocio y en cada nuevo producto que salga. Vamos a tener que trabajar para que la privacidad se viva realmente dentro de las organizaciones y se tenga en cuenta desde el primer momento. No bastará con tener un teléfono de asesoría jurídica al que llamar para que me salve cuando tenga una duda si quiero sacar algo adelante que pueda tener un impacto con protección de datos. Ese es el gran cambio que va a conseguir el reglamento.
– ¿Cómo se están tomando estos cambios las empresas? ¿Les cuesta adaptarse a esto?
Son sentimientos encontrados. Por un lado, saben que va a significar una inversión, y ahora mismo, las compañías no están como para hacer inversiones, y además en temas de cumplimiento. Pero, por otro lado van a ser más conscientes del impacto que esto va a tener. No sólo por la sanción, sino porque hay un mundo ahí fuera que es el tema de la reputación. Si una gran compañía va a ser sancionada con 30.000 euros, le puede doler un poco pero podrá afrontarlo, pero el hecho de que todo el mundo sepa que ha tenido una brecha de datos, en muchos casos será un daño irreparable. La cotización de muchas compañías se desploma ante este tipo de cuestiones.
Además, hay otro tema novedoso que es el ‘Data Breach Notification’, la notificación de fuga de información. Esto obliga a las compañías a que, en el caso de que alguien haya quebrantado sus sistemas de información y haya habido una brecha de su sistema de seguridad, lo notifique a una autoridad de control. En estos casos, lo que se haría aquí en España es apagar el incidente y que no se conozca. Pues con el reglamento va a haber una obligación por la que todo tipo de compañías que traten datos personales deberán notificar ese incidente a una autoridad de protección de datos.
– Quién está mas concienciado sobre la normativa de protección de datos, ¿el sector público o el privado?
Sin lugar a dudas el privado. Por mi experiencia profesional como asesor y como consultor, y viéndolo a nivel de la asociación y en todos los foros, la sanción económica ha sido una palanca para que todas las empresas privadas sepan que tienen una obligación que tienen que cumplir. Muchos entes públicos también se lo han tomado en serio y han hecho un buen trabajo, pero la Administración Pública no ha sido sancionada con una multa pecuniaria hasta ahora y si haces un barrido general del estado de cumplimiento, ahí están los datos que publica la memoria de la AEPD. Yo creo que, en general, la Administración cumple menos.
– ¿Cómo explicas que todavía no haya sido sancionada económicamente la Administración Pública?
La explicación que siempre se ha dado en España es por un criterio de caja. Si sancionan económicamente a la Administración Pública, ésta va a tener que pagar a un órgano que es una Administración pública, por lo que el dinero va y vuelve al mismo sitio (aunque siempre se pedían responsabilidades a la persona encargada, o al director de ese servicio). Por decirlo de alguna manera, era un tirón de orejas y una advertencia, de: “Oye, eso no se ha hecho bien”. Y ha sido así más o menos hasta ahora. Pero con el reglamento no se distingue entre Administración pública y empresa privada, y si esto continua así, que a todos nos ha sorprendido, parece que las Administraciones públicas también podrán ser sancionadas.
– ¿Y dónde pagarán?
Esa es una gran pregunta. Supongo que lo harán como todos pero eso no está regulado. En España, se regula de forma específica el tratamiento de la Administración pública y el tratamiento de empresas. Pero en el Reglamento no se hace esa distinción y por lo tanto, también se ha homogeneizado la normativa para entes públicos y privados.
– ¿Consideras que esto es positivo?
Yo creo que va a resultar un empujón para que la Administración cumpla y se ponga las pilas en ese tema. Creo que es positivo porque las empresas siempre se han venido quejando de que a la Administración pública no se la sancionaba con una multa en euros y a ellos sí. Estará bien que tengamos un mismo régimen regulador para que no haya comparaciones. Además, hay muchos tratamientos de datos que son de titularidad pública y que son fundamentales e importantísimos. Pensemos en Hacienda, Seguridad Social, hospitales públicos… Siempre parece que tenemos miedo a las redes sociales y a los buscadores pero pensemos en la cantidad de datos que el entorno público tiene sobre nosotros.
– La normativa española no regula quién debe realizar la auditoría de protección de datos. ¿Queda resuelto el tema con el reglamento de la UE?
Tampoco se regula. Entiendo que es un tema complicado de regular y de nuevo, quizá el desarrollo que habría que hacer de todo esto debería ser con las certificaciones y acreditaciones profesionales. El problema, bajo mi punto de vista, es que se le ha llamado auditoría cuando realmente se es una revisión interna. Y en segundo lugar, nunca se ha regulado quién podría hacer esa auditoría. Ha habido gente que te ha dicho que te haría una auditoría por 10.000 euros y la misma auditoría, otro te decía que te la hacía por 80 euros. Entonces, lógicamente, han habido muchas empresas que han estado muy despistadas con este tema. Además, en España no se ha dado ningún caso de responsabilidad por haber hecho mal una auditoría, y te aseguro que se han hecho muchas mal, así que tampoco nadie ha aprendido la lección. Insisto, es un tema que no está regulado, que no tiene pinta que se vaya a regular y espero que el mercado empiece a exigir certificaciones y confíe en asociaciones como nosotros que al final trabajamos todos los días con profesionales que intentan cualificarse.
