28 Mai Leonardo Cervera Navas: “Veremos multas importantes por Protección de Datos en pocos meses”
Leonardo Cervera Navas, director de la oficina del Supervisor Europeo de Protección de Datos (EDPS), tiene motivos para celebrar el primer aniversario de implantación de una normativa que ha situado a la Unión Europea en la vanguardia mundial para “garantizar el desarrollo de las nuevas tecnologías”, según explica a elEconomista.
Entre otras virtudes, el Reglamento General de Protección de Datos (RGPD) se ha convertido en apenas 12 meses en la mejor iniciativa para proteger los derechos de los ciudadanos de la sociedad digital.
¿Cómo ha ido este primer año desde la entrada en vigor del Reglamento? ¿Cuál es su ‘feedback’?
Claramente positivo. Desde mayo del 2018 hasta hoy, ha habido una clara mejoría tanto en lo que se refiere al nivel de conocimiento que tienen los ciudadanos sobre sus derechos como a la atención que prestan las empresas y las administraciones públicas a la protección de datos. Es verdad que todavía queda mucho por hacer, pero existe un acuerdo generalizado de que gracias al Reglamento General de Protección de Datos (RGPD) estamos mejor que hace un año. Además, la Unión Europea ha demostrado un claro liderazgo a nivel mundial sobre cómo garantizar un desarrollo sostenible de las nuevas tecnologías.
En España, las empresas han corrido contrarreloj para adaptarse a la normativa. ¿Están ya adaptadas nuestras compañías?
No completamente. Muchas empresas tienen un nivel de cumplimiento que podríamos calificar como básico o superficial pero no han interiorizado todavía completamente lo que supone el RGPD. La gestión de la información digital, de los datos personales, es una nueva gestión de riesgos a tener en cuenta, como la seguridad laboral o los riesgos medioambientales. Por tanto, no se trata de contratar a un abogado “para que se encargue del asunto” sino que la mejor manera de “evitar accidentes” es nombrar a un delegado de protección de datos. Este profesional se encargará de formar a los otros empleados, asesorar al consejo de administración, en definitiva, de crear una cultura de protección de datos en el interior de la organización. Donde hay un buen delegado de protección de datos suele haber un buen cumplimiento de la normativa, y en aquellos sitios donde no hay un delegado o el que hay no es tan bueno, pues se nota mucho.
Ha sido controvertido el aumento en la cuantía de las sanciones. ¿Están ya sancionando?
Sí, ya se está sancionando, pero es normal que no se hayan visto muchas multas todavía porque las sanciones pecuniarias son el final de un procedimiento sancionador que lleva su tiempo. Veremos multas importantes en los próximos meses porque si la protección de datos tiene un coste para las empresas que se toman en serio la normativa, este coste tiene que ser mucho mayor para aquellas empresas que no se la toman en serio. Es una cuestión de equidad y de justicia elemental. Esto no quiere decir que haya que multar siempre ni que todas las multas tengan que ser altas pero las sanciones son un elemento fundamental para que el sistema funcione correctamente.
Otro de los aspectos clave es la obligación de notificar a la autoridad nacional la brecha de seguridad. ¿Les está costando autodenunciarse?
Por regla general, las empresas europeas están notificando a las autoridades de protección de datos las brechas de seguridad, aunque se aprecian algunas diferencias entre los distintos países. Por ejemplo, en Holanda hay más de 2.000 notificaciones al mes (esta obligación ya existía antes del RGPD) mientras que en Irlanda sólo ha habido 4.500 notificaciones en el último año y en Portugal, 630 en el mismo período. Mi recomendación a las empresas es que lo último que deben hacer es meter la cabeza en la arena cuando ocurre un incidente.
¿Cuál debe ser el protocolo de actuación cuando una compañía detecta estas brechas?
Cuando se detecta una brecha, la compañía o la administración pública en cuestión tiene que informar a la agencia de protección de datos. Dependiendo de la gravedad del caso, es posible que haya que informar a los ciudadanos afectados por la brecha, pero eso no es lo más importante sino la diligencia con que actúa la compañía en cuestión. Una brecha importante puede quedar en nada si la empresa actúa con profesionalidad y prontitud, adoptando las medidas oportunas, mientras que una brecha relativamente inocua puede convertirse en un problema serio si no se hace nada.
¿Qué ocurre con las casillas premarcardas? ¿Son un consentimiento válido? El abogado general parece que lo rechaza. ¿Está en la línea con lo entendido por el Supervisor Europeo?
El consentimiento requiere siempre un acto afirmativo, por ejemplo, enviar un correo electrónico, hacer un clic sobre determinado lugar o rellenar una casilla. El silencio o la inactividad sobre casillas premarcadas no es un acto afirmativo y por tanto no constituye un consentimiento válido en nuestra opinión, que es algo que parece compartir el abogado general también.
La segunda pata importante de toda esta normativa es la famosa Directiva ePrivacy. ¿Cuál es la relación entre las dos normativas? ¿Casan bien?
Las dos regulaciones, el RGPD y la Directiva ePrivacy, son necesarias y complementarias. Por ejemplo, para fenómenos como la mensajería instantánea se necesita proteger tanto la confidencialidad de las comunicaciones, como el posible tratamiento que pueda hacer la empresa de mensajería de otros datos de sus usuarios. El Comité Europeo de Protección de Datos ha aprobado recientemente una opinión sobre el asunto (5/2019) que se puede consultar en la página web de este organismo europeo.