¿Cómo se están protegiendo los datos tras un año del RGPD?
Mesa redonda del sector público.
La misma semana que el Tribunal Constitucional (TC) declaraba inconstitucional la elaboración de perfiles ideológicos de los ciudadanos por parte de los partidos políticos mediante la recopilación de datos personales obtenidos en medios digitales, se celebraba en Madrid el pasado 23 de mayo, concretamente en la sede del Consejo General del Notariado, una jornada organizada por la Editorial Lefebvre-El Derecho dedicada a hacer balance de este primer año de entrada en vigor ‘efectiva’ del nuevo RGPD y el papel que han jugado, hasta el momento, los delegados de protección de datos (DPOs) para trasladar a las organizaciones y empresas españolas este cambio de cultura corporativa en materia de privacidad.
El presidente de Lefebvre, Juan Pujol, fue el encargado de inaugurar este acto que sirvió, además, como marco para presentar el Memento Protección de Datos y la nueva plataforma de gestión de compliance -bautizada como ‘Centinela’- de esta editorial jurídica.
La declaración del alto tribunal y su fallo en relación al apartado 1 del art. 58 bis de la Ley Electoral General fue el ‘pistoletazo de salida’ del debate en el que participaron representantes del PSOE, PP y Ciudadanos. Tanto el PP como Ciudadanos se congratularon de que el TC haya hecho esta declaración que pone ‘límites’ al uso de datos personales por parte de los partidos políticos con fines propagandísticos, mientras que el PSOE aseguró que nunca ha hecho ni hará propaganda política en un futuro utilizando medios digitales.
Partidos políticos y privacidad
Mónica Silvana, secretaria del área de Movimientos Sociales y Diversidad del PSOE, destacó el compromiso de su partido para seguir trabajando en un futuro en el desarrollo del RGPD y afirmó que, desde su entrada en vigor ‘efectiva’ hace un año (en concreto, el pasado 25 de mayo de 2018), “la sociedad española ha hecho un gran esfuerzo por adoptar en su día a día esta nueva cultura en materia de privacidad”.
Por su parte, Mª Jesús Moro Almaráz, portavoz de Justicia en el Congreso de los Diputados por el PP, destacó “lo complicado que resulta regular esta materia dado que el nuevo reglamento permite unos márgenes de actuación a cada estado miembro de la UE” y destacó que, transcurrido un año, “se ha perdido el miedo inicial y estamos en un momento de desarrollo de la directiva comunitaria”.
Finalmente, Ugo López, representante de Ciudadanos y coordinador en España de En Marche!, el partido del presidente de Francia, Emmanuel Macron, afirmó que “estamos viviendo una revolución digital que conlleva para todos el plantearnos una profunda reflexión en materia de privacidad”, y aseguró que Europa debe de tener “un mercado digital más cohesionado y fuerte que pueda imponer a los gigantes digitales, como Facebook, la normativa europea en materia de privacidad”, porque –añadió– “no sabemos cómo usan nuestros datos personales sus algoritmos”.
Durante su intervención para analizar cómo ha evolucionado la nueva LOPD y Garantía de los Derechos Digitales y qué camino queda por recorrer, José Luis Piñar, DPO del Consejo General de la Abogacía Española (CGAE), destacó la importancia que tiene la figura del delegado de protección de datos para garantizar la aplicación del nuevo reglamento europeo, y afirmó que “los partidos podrán seguir recabando datos de los ciudadanos, pero siempre respetando la normativa en vigor en materia de protección de datos”.
"Los partidos podrán seguir recabando datos de los ciudadanos, pero siempre respetando la normativa en vigor en materia de protección de datos". José Luis Piñar, DPO del CGAE.
DPOs en el sector público
Durante la jornada se celebraron dos mesas redondas en las que participaron DPOs de los sectores público y privado para analizar la situación actual en materia de privacidad en empresas y organizaciones españolas.
Mª José Blanco Antón, DPO del Ministerio de la Presidencia, destacó la importancia de “dar formación a quienes se dedican al tratamiento de datos y concienciar a todo el personal para cumplir con la normativa en materia de privacidad”. Asimismo, valoró el esfuerzo que ha hecho su ministerio durante el último año poniendo en marcha un equipo de trabajo que ha dado forma a la función del DPO, así como un plan de actuación que incluye análisis de riesgos y medidas preventivas a adoptar.
En esta misma línea, Jesús Medina Jaranay, asesor de los colegios de economistas de Granada y Córdoba, afirmó que, “trabajando como asesores externos nos dimos cuenta en seguida que era necesario formar y concienciar a los colegios sobre la importancia de proteger los datos y su tratamiento”.
Por su parte, Susele Cortés, DPO de la Agencia de Servicios Económicos de Málaga, denunció la falta de medios en la administración pública local para adaptarse a la nueva normativa en materia de privacidad: “Nos está costando mucho esta transformación digital para proteger los datos personales de los ciudadanos”, aseguró. “Poco a poco, y siguiendo una hoja de ruta, hemos ido dando pasos, pero es difícil trabajar así cuando hablamos de materias colaborativas y transversales como son la transparencia y la privacidad”, apuntó.
Durante su intervención, David Gracia, DPO de Ancert-Consejo General del Notariado, insistió en la importancia de concienciar a la sociedad sobre la privacidad porque “los datos personales y su protección son un derecho fundamental de los ciudadanos”.
Finalmente, Fernando Ledrado, de la Agencia Madrid Digital de la CAM, habló de la dificultad que supone llevar a la práctica medidas de seguridad para preservar la confidencialidad de los datos debido a la gran cantidad de normativa que regula esta materia en la actualidad, e insistió, como Gracia, en destacar “la importancia de que el ciudadano tenga un control efectivo de sus datos y que sepa qué se hace con ellos”.
Mesa redonda del sector privado.
Experiencias en el sector privado
La jornada fue clausurada con la intervención de representantes de grandes corporaciones y empresas del sector privado, como Telefónica, Mutua Madrileña o Servier, que compartieron con los numerosos asistentes al acto los retos y dificultades que han experimentado durante este último año para adaptarse a los cambios legislativos en materia de privacidad y concienciar a sus empleados sobre la importancia de proteger los datos personales.
Óscar Casado Oliva, Head of Legal (Data Services, Product Privacy and Legal Innovation) de Telefónica, contó cómo esta empresa de telecomunicaciones ha invertido en tecnología para adaptarse a la nueva normativa en materia de privacidad.
“Lo hemos hecho mediante la puesta en marcha de La Cuarta Plataforma, donde están integrados todos los datos de nuestros clientes, y AURA, un asistente virtual inteligente que permite a nuestros clientes comunicarse con esta plataforma y controlar sus datos”, afirmó. De esta manera, añadió, “intentamos generar una relación de confianza con nuestros clientes y mejorar su experiencia”.
Arturo Lucas, director del área de Legal y Compliance de Servier, afirmó que, aunque es difícil que se produzca una brecha se seguridad en una farmacéutica, los datos más sensibles son los relativos a las personas que participan en ensayos clínicos, y, en este sentido, indicó que su empresa está aún en la fase inicial de implementación de herramientas tecnológicas que permitan tratar adecuadamente estos datos.
Por su parte, Isabel Molezún, responsable del área de Protección de Datos en Mutua Madrileña, afirmó que, un año antes de la entrada en vigor ‘efectiva’ del nuevo RGPD, empezaron a trabajar en la adaptación de la compañía a la nueva realidad en materia de privacidad creando un departamento específico dedicado al tratamiento de datos y su protección.
“Revisamos todos los procesos de la compañía e hicimos una importante labor de concienciación y formación dentro de la Mutua para evitar incumplimientos. Todo esto nos ha hecho tener muy claro que los propietarios de los datos son los titulares de los mismos, no los encargados del tratamiento”, concluyó.
Gloria Rodríguez, DPO de la Fundación Universitaria San Pablo-CEU, habló también del “reto de concienciar a una plantilla que maneja los datos de 30.000 alumnos, muchos de ellos menores”, así como del esfuerzo que han hecho desde esta institución académica por “formar y capacitar al personal mediante la impartición de cursos online y la publicación de un Decálogo de Protección de Datos”.
Los últimos en intervenir fueron Miguel Recio, doctor en Derecho y especialista en Protección de Datos, que advirtió de que “nadie dentro de una organización puede poner en riesgo la independencia del DPO en el ejercicio de su cargo” y que, en este sentido, “es importante identificar las funciones del DPO que pudieran dar lugar a un posible conflicto de interés”, en una clara alusión a que la función del DPO no puede recaer, en ningún caso, en el asesor legal de la empresa.
Finalmente, Antonio Quevedo Muñoz, CEO y fundador de Audisec, comentó que “sin tecnología es imposible cumplir con tantos requerimientos en materia de protección de datos” y que “la Administración Pública en España debería de ser el motor que dé ejemplo a la empresa privada, porque –concluyó– la realidad es que las empresas españolas aún no cumplen con la nueva normativa en materia de privacidad”.
