Sin duda, el asunto de la protección de datos de los clientes por parte de las empresas es algo que preocupa a todas las organizaciones. En este sentido, en 2018 cambiaron las reglas al aprobarse el Reglamento General de Protección de Datos europeo y, posteriormente, la Ley Orgánica de Protección de Datos española.
Ahora, cinco años después de que entraran en vigor estos textos legales es interesante ver cómo las empresas los han adoptado y cómo están afrontando el tema del tratamiento de datos ante el avance imparable de las nuevas tecnologías.
Para ello, nada mejor que recurrir a la Agencia Española de Protección de Datos (AEPD), el organismo encargado de garantizar los derechos y libertades fundamentales de las personas en el tratamiento de sus datos personales.
En este sentido, hemos tenido la oportunidad de hablar con Mar España, directora de la AEPD y trasladarle algunas cuestiones acerca de la protección de datos por parte de las empresas, la percepción que tienen los ciudadanos sobre el uso que se hace de sus datos y los nuevos retos que plantean las tecnologías emergentes.
¿Crees que en general las empresas españolas hacen buen uso de los datos de sus clientes? ¿Te parece que las empresas, en general, conocen bien la normativa al respecto?
Es difícil hacer una valoración precisa pero, sin duda, cada vez más. La Agencia tiene como misión promover la cultura de la protección de datos entre la ciudadanía y las entidades que tratan datos, y en los últimos años ha intensificado su actividad para dar a conocer la normativa aplicable.
Con carácter previo a la aplicación del Reglamento General de Protección de Datos (RGPD), organizamos y celebramos reuniones con las organizaciones empresariales y los representantes de los distintos sectores de actividad para dar a conocer el Reglamento y concienciar a las empresas acerca de la importancia y necesidad de su cumplimiento.
Esta labor se ha complementado con la elaboración de más de 115 guías y herramientas que se ponen a su disposición para facilitar dicha aplicación.
Asimismo, se han creado en la web de la AEPD áreas temáticas por actividades de negocio o de tratamiento en las que se recogen los criterios de la Agencia y las directrices del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) respecto a la aplicación de la normativa. Además, hay que señalar que estos materiales están sometidos a constante actualización con arreglo a las novedades normativas o de nuevos criterios.
En suma, hemos hecho una clara apuesta por la prevención y, aunque siempre quedan cosas por hacer, la agencia ha puesto todos sus recursos para ayudar a las empresas a cumplir con la normativa.
¿Consideras que se respeta la Ley en todos sus aspectos, por ejemplo, en temas como la selección de personal? ¿Dónde se falla más?
Un buen indicador para conocer los sectores o ámbitos donde más, o menos, se respeta la protección de datos son las Memorias de actividad que publicamos anualmente. En este sentido, la última memoria recoge que el TOP 5 de las reclamaciones recibidas tenían relación con servicios de Internet (15%), videovigilancia (15%), publicidad (13%), inserción indebida en ficheros de morosidad (8%) y reclamación de deudas (6%).
Por lo que respecta a la selección de personal, la Agencia ha sancionado en alguna ocasión por asuntos relacionados con la información que se facilita a las personas que envían su CV a las empresas, las cuales no están exentas de cumplir con el deber de información sobre el tratamiento de los datos personales.
Otros aspectos que han dado lugar a reclamaciones han tenido que ver con la geolocalización de vehículos de empresa, el control laboral por medio de sistemas de videovigilancia o el acceso a datos por los sindicatos en el ejercicio de su actividad.
Al margen de las reclamaciones, hemos recibido también numerosas consultas sobre el acceso a los informes de salud laboral que emiten los servicios de prevención por parte de las empresas.
De hecho, a tenor de las consultas y reclamaciones que recibimos, publicamos una guía que recoge estas y otras cuestiones con la participación tanto del Ministerio del Trabajo como de la patronal y organizaciones sindicales, con el objetivo de ofrecer una herramienta práctica de ayuda para un adecuado cumplimiento de la legislación.
Una vez pasado un tiempo desde la implantación del RGPD y la posterior adaptación de la LOPD a la normativa europea (LOPDGDD) ¿Qué sensación tenéis desde la AEPD de cómo ha sido el proceso de adaptación de las empresas españolas?
El RGPD supuso un importante cambio de paradigma en cuanto a su cumplimiento, puesto que el principio de accountability o de responsabilidad activa constituyó una novedad respecto al tradicional modelo de cumplimiento, que implica una mayor flexibilidad en cuanto a la adopción de las medidas en función del riesgo de los tratamientos.
Con anterioridad a la aplicación del Reglamento, trabajamos mucho con CEOE, CEPYME y ATA y UPTA para difundir los cambios y tratar de llegar a todas las empresas. A día de hoy, hay datos objetivos como el número de Delegados de Protección de Datos (DPD) notificados a la Agencia, que revela la voluntad de adaptación del sector privado al marco normativo.
“El RGPD supuso un importante cambio de paradigma en cuanto a su cumplimiento”
En todo caso hay que tener en cuenta que no todas las entidades, organismos y empresas están obligadas a contar con un delegado de Protección de Datos. Es obligatorio para organismos públicos, así como para entidades que hagan tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos y, en todo caso, cuando se trate de las entidades incluidas en el artículo 34.1 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDPGDD).
¿Crees que está bien implantada en España la figura del DPD o aún queda mucho por hacer?
Con el DPD, que es una novedad en el ámbito normativo español, el RGPD proporciona una valiosa herramienta para facilitar el cumplimiento a los responsables y encargados. Sus funciones y estatuto lo convierten en una figura clave del sistema de protección de datos, y más aún si añadimos las funciones que le atribuye la LOPDPGDD en las reclamaciones o controversias que se produzcan.
Actualmente, contamos con cerca de 110.000 delegados de protección de datos inscritos en el registro de la Agencia, de los que algo más de 99.000 corresponden al sector privado. En unos casos se han designado por obligación —pues su ausencia constituye una infracción— y, en otros, de manera voluntaria.
Asimismo, hemos habilitado un canal para que los delegados y delegadas de protección de datos puedan efectuar consultas a la Agencia en el modo que dispone la Instrucción 1/2021.
Este año, las autoridades de control de la UE hemos realizado una encuesta a los DPD para conocer su funcionamiento que, en su momento, dará lugar a un informe que recoja los puntos fuertes y las necesidades que tienen para realizar su trabajo.
¿Se han abierto muchos expedientes e impuesto muchas multas a empresas por incumplimiento?
Según los datos de 2022 y 2021, los procedimientos que finalizaron con la imposición de una sanción por parte de la Agencia por infracción de la normativa de protección de datos fueron 378 y 258, respectivamente.
En el plano europeo, aunque no tenemos estadísticas precisas al respecto, la Agencia es la autoridad de la UE que más procedimientos sancionadores tramita, en torno a un 40% del total. Sin embargo, pese a estas importantes cifras de procedimientos sancionadores tramitados y que finalizan con multas, el importe asociado a dichas multas representa solo entre un 2% y el 3% del volumen global de multas impuestas en la UE.
“Pese a lo que pueda pensarse en ocasiones, la apertura de procedimientos sancionadores no es el cauce más habitual de resolución de reclamaciones”
Pese a lo que pueda pensarse en ocasiones, la apertura de procedimientos sancionadores no es el cauce más habitual de resolución de reclamaciones. La búsqueda de soluciones en fases tempranas es mucho más frecuente, especialmente por medio del trámite del traslado de la reclamación al responsable o encargado. En este sentido, hay que mencionar que casi un 80% de las reclamaciones se resuelven tras haberse trasladado al responsable.
Teniendo en cuenta que en España hay muchas empresas pequeñas, ¿crees que el tema de la protección de datos es algo que se tiene en mente cuando se crea una nueva empresa?
Hemos apostado por la adopción de medidas y el desarrollo de actividades encaminadas a informar, sensibilizar y concienciar acerca del derecho a la protección de datos como un activo para las pequeñas empresas y para facilitar el cumplimiento, pues son clave en la estructura económica de España.
Como comentaba antes, hemos celebrado jornadas, talleres y encuentros con las organizaciones empresariales para informar del nuevo marco normativo que trajo el RGPD y proporcionar guías y herramientas para ayudar al cumplimiento.
Entre ellas se encuentran Facilita EMPRENDE, Evalúa-Riesgo, o Asesora Brecha, todas disponibles en nuestra web. Pero de todas ellas cabe destacar, por ser la primera y haber sido galardonada internacionalmente, la herramienta Facilita RGPD para ayudar a aquellas empresas que realizan un tratamiento de datos personales de escaso riesgo.
A 31 de diciembre de 2022, esta herramienta superaba con holgura el millón de descargas, un dato que ejemplifica bien la importancia que tiene para las pequeñas empresas —tanto de nueva creación como para el resto— el cumplimiento de la normativa.
En los últimos años los ciudadanos somos mucho más conscientes de la importancia de nuestros datos ¿Crees que los españoles vivíamos ignorantes de ello o era algo generalizado en todos los países del entorno? ¿Piensas que la gente conoce el trabajo que se realiza desde la AEPD?
La última Memoria de la Agencia (correspondiente a 2022) recoge que el número de reclamaciones recibidas superó la cifra de 15.000, dibujando una tendencia creciente en los últimos ejercicios. Eso, por una parte, refleja la preocupación de la ciudadanía por el uso de sus datos personales y la necesidad de control sobre los mismos y, por otra, que confía en nuestra labor como institución para velar por su derecho a la protección de datos.
El comienzo de la aplicación del RGPD en 2018 supuso una toma de conciencia sobre el derecho fundamental a la protección de datos para la sociedad en su conjunto, tanto para la ciudadanía, que fue más consciente de sus derechos, como para las empresas, ante la necesidad de adecuarse a los cambios que trajo consigo el Reglamento.
“El comienzo de la aplicación del RGPD en 2018 supuso una toma de conciencia sobre el derecho fundamental a la protección de datos para la sociedad en su conjunto”
Esa mayor sensibilidad no sólo se refleja en las reclamaciones. La Memoria del año pasado refleja un incremento del número de visitas recibidas en nuestra página web para consultar nuestras guías y herramientas, así como el seguimiento de nuestras redes sociales para estar al tanto de las últimas novedades que publicamos.
Además, el aumento de las consultas nos ha llevado a habilitar un nuevo canal para facilitar la información de manera ágil a los ciudadanos: un chatbot, en marcha desde marzo de este año, que está recibiendo cerca de 2.000 consultas mensuales, lo que también es una muestra de que la ciudadanía cada día es más consciente de sus derechos y de la labor de la AEPD como organismo encargado de velar por su derecho.
Con independencia de la potestad sancionadora, uno de los ejes principales sobre los que pivota nuestra actividad es trabajar desde una perspectiva estratégica de prevención, no sólo para fomentar el conocimiento sobre el derecho a la protección de datos, sino también para evitar los daños y perjuicios que puede suponer su vulneración.
¿Cuáles son los mayores retos a los que se enfrenta la Agencia en los próximos años (a corto plazo)?
La finalidad de la AEPD es garantizar los derechos y libertades fundamentales de las personas en el tratamiento de sus datos personales, que se ven comprometidos por el vertiginoso desarrollo de la tecnología.
Ésta proporciona grandes beneficios de los que nos aprovechamos todos, pero a la vez, presenta grandes retos para nuestra privacidad. La inteligencia artificial, el big data, el Internet de las cosas, o los neurodatos son ejemplos de nuevas tecnologías que pueden llegar a ser extremadamente invasivas para las personas si no se planifican y desarrollan de forma correcta.
Estas tecnologías constituyen uno de los retos más importantes, sino el que más, al que nos enfrentamos las autoridades de protección de datos ahora y en los próximos años.
“La inteligencia artificial, el big data, el Internet de las cosas, o los neurodatos son algunos de los retos más importantes a los que nos enfrentamos”
Se trata de materias muy complejas, que requieren de un análisis minucioso, lo que conlleva tiempo y recursos. A ello hay que sumar unas competencias crecientes y transversales, el elevado número de complejos procedimientos transfronterizos en los que participamos y, la tendencia ascendente en el número de reclamaciones antes mencionada, que no parece transitoria o circunstancial.
Y hay que añadir la parte de concienciación y ayuda, tanto a los ciudadanos como a los responsables. Todo ello supone un reto de enorme calado para la Agencia. Aunque su personal ha crecido en los últimos años, no lo ha hecho de forma proporcional al número y la complejidad de los asuntos tramitados, por lo que la necesidad de incrementar la plantilla también es uno de nuestros retos prioritarios.
Queda claro entonces que nos enfrentamos a un panorama bastante incierto, en el que el uso de los datos personales se enfrentará a retos cada vez más complejos. Pero también que, al menos, las leyes sobre protección de datos por parte de las empresas son claras y la AEPD estará ahí para ayudarnos.
Imágenes | Fotos de AEPD
