Según un informe del año 2021 emitido por ESET, empresa experta en ciberseguridad, de todos los países miembros, España encabezaría la lista de países que más multas han recibido sus empresas por incumplir las obligaciones en materia de protección de datos que se derivan del Reglamento Europeo de Protección de Datos (RGPD).

Hablamos con Patricia Carrera Sánchez, especialista en materia de protección de datos de la firma Devesa & Calvo que cuenta con la certificación como Delegada de Protección de Datos conforme al esquema de la Agencia Española de Protección de Datos (AEPD). 

¿Cuál es el grado de cumplimiento de las empresas españolas en materia de protección de datos? 

Lamentablemente, el grado de cumplimiento es en términos generales muy bajo o, en algunos casos, inexistente. La falta de cumplimiento la vemos en nuestro día a día y, adicionalmente cuando llevamos a cabo una due diligence en el marco de una operación de compraventa de empresas. Una de las áreas que revisamos dada su importancia, es el cumplimiento en materia de privacidad. Salvo algún caso excepcional, las empresas españolas suspenden esta asignatura y, en muchas ocasiones, desconocen sus consecuencias. 

 ¿A qué se debe esta despreocupación de las empresas?

En mi opinión, esta falta de interés es consecuencia de nuestra antigua Ley Orgánica 15/1999, que imponía una serie de obligaciones más bien formales, como registrar los ficheros ante la AEPD y tener un documento de seguridad. El RGPD supuso un cambio radical introduciendo, como eje fundamental para el cumplimiento en materia de privacidad, el principio de responsabilidad proactiva. Este principio implica que son las propias empresas las tienen que actuar, analizando el tratamiento de los datos que realizan y los riesgos que este tratamiento supone atendiendo al tipo de datos tratados. En función de ese análisis de riesgos, determinarán cuáles son las medidas de seguridad adecuadas a su propia realidad. 

Este análisis además debe ser continuo, la solución que adopta una empresa hoy es posible que, si hay un cambio de circunstancias, no valga para el día de mañana.

Cumplir el RGPD no es tarea fácil para una empresa y requiere de un especialista que le ayude a identificar los tratamientos que lleva a cabo y el tipo de datos que trata, haciendo un inventario de los mismos a través del llamado Registro de Actividades de Tratamiento (RAT).

¿En qué consiste el Registro de Actividades de Tratamiento?

El RAT en un documento que identifica los distintos tratamientos que realiza una empresa, qué categoría de datos trata, plazos de conservación, finalidades, medidas de seguridad, etc. Este registro nos da la foto de qué datos trata la empresa, cómo lo hace, por cuanto tiempo y cómo los protege. El RAT además tiene que estar actualizado, si la empresa inicia una nueva actividad o incorpora nuevas tecnologías a la misma resultará necesario modificarlo. Será además uno de los primeros documentos que la AEPD pida a la empresa si recibe alguna reclamación o la notificación de una brecha de seguridad.

Hablando de brechas de seguridad, ¿cómo pueden protegerse las empresas de las consecuencias de los ciberataques?

Deben adoptar medidas de seguridad que sean suficientes a la vista del análisis de riesgos, una PYME no requiere las mismas medidas que una multinacional, pero lo que necesita cualquier organización, independientemente del tamaño, es establecer procedimientos y protocolos que le permitan actuar de una forma rápida y eficiente ante una brecha de seguridad. La empresa tiene que tomar decisiones de forma ordenada e inmediata, pues solo tiene 72 horas desde que tiene conocimiento de la brecha de seguridad para valorar si debe notificar a la AEPD. No puede esperar a que se haya producido el ataque para actuar, previamente tiene que establecer los protocolos a seguir, empezando por qué hacer, cómo hacerlo y a quién comunicarlo.

Además, hay que tener en cuenta que, según un informe del Foro Económico Mundial del año 2022, el 95% de los problemas de ciberseguridad son consecuencia de un fallo humano. Otras causas comunes de brechas de seguridad derivadas de un error humano son la pérdida de documentación o el envío por correo electrónico de datos personales a una persona diferente al destinatario según se desprende del último informe mensual de Notificaciones de Brechas de Datos Personales publicado por la AEPD el pasado agosto.

Por ello, resulta fundamental que las empresas proporcionen a sus empleados una adecuada formación en materia de protección de datos. Falta cultura en materia de protección de datos, las empresas empezando por su cúpula directiva, tienen que conocer por qué es importante proteger los datos y cómo hacerlo y poder demostrar, además, que están cumpliendo el RGPD.  

¿Cuál es el panorama sancionador actual en la AEPD?

De acuerdo con información publicada por la AEPD, durante los seis primeros meses del año 2022 la AEPD ha impuesto sanciones que ascienden a la suma de 20,5 millones de euros, si bien hay que destacar que de dicha cantidad, 10 millones corresponden a la sanción impuesta a Google el pasado mes de mayo. Los sectores más castigados, en cuanto a la cuantía de multas, están encabezados por los servicios de internet, la contratación fraudulenta y en tercer lugar llama la atención que se encuentren los asuntos laborales, donde las sanciones han llegado a 2.248.300 €, superando incluso a las entidades financieras. Y es que las medidas de control que adopte el empresario no pueden vulnerar los derechos de los empleados en materia de privacidad, debiendo ser informada la persona trabajadora del tratamiento que se hace de sus datos. La actividad sancionadora de la AEPD va en aumento cada año, tanto en el número de sanciones impuestas como en la cuantía de estas. Las empresas españolas deben ser conscientes de esta situación y tomar medidas de prevención y cumplimiento normativo.

En Devesa & Calvo Abogados venimos realizando cada vez con más frecuencia multitud de proyectos de adecuación en materia de protección de datos para ayudar a las empresas a cumplir con el RGPD, lo que demuestra que la preocupación e interés de los empresarios españoles por esta materia está por fin creciendo.  

El despacho Devesa & Calvo se ubica en la emblemática Casa Carbonell de Alicante. hector fuentes

Más información

Devesa & Calvo Abogados

  • Passeig Esplanada d'Espanya, 1, 3º derecha, 03002 Alicante
  • Tlf: 965296180