A pesar de que la RGPD lleva casi un año en vigor, todavía hay muchas empresas que no cumplen con lo establecido por la Unión Europea, según un estudio de la Agencia Española de Protección de Datos. A continuación, analizamos qué se está haciendo mal al respecto en España y qué hacer para solucionarlo.
Ya ha pasado casi un año desde que el Reglamento General de Protección de Datos (RGPD, o GPDR, por sus siglas en inglés) entrara en vigor en toda la Unión Europea. El objetivo principal de esta nueva legislación era ofrecer al usuario una mayor protección de sus datos personales, aumentar su privacidad y darle más herramientas para poder defenderse.
En los meses previos analizamos largo y tendido cuáles eran los cambios más importantes de la RGPD, como el consentimiento informado o cómo iban a afectar estas novedades al sector de la salud y laboratorios. Un mes después, hicimos un repaso a la situación en la que se encontraban las empresas una vez la regulación se hizo obligatoria.
En esta ocasión, casi un año después de su entrada en vigor, vamos a conocer en qué estado se encuentra la protección de datos en las empresas en España y echamos un breve vistazo al resto de Europa.
Primeras sanciones en Europa
El cumplimiento de la RGPD se puede ver fácilmente en el número de multas que las autoridades pertinentes de cada país han emitido, como la multa de 4.800€ impuesta a una casa de apuestas por la Autoridad de Protección de Datos Austriaca (DBS).
El motivo de esta sanción es que el negocio tenía una cámara de seguridad en el exterior del local que apuntaba hacia gran parte de la acera y carecía de la señalización necesaria avisando que allí había un sistema de videovigilancia. Aunque a algunos les pareció una multa menor, la DSB lo ha justificado basándose en el principio de proporcionalidad.
Para evitar este tipo de incidencias, la Agencia Española de Protección de Datos cuenta en su página web con una guía sobre el uso de este tipo de cámaras de seguridad y su adaptación al conjunto de obligaciones que contempla la RGPD.
La Comisión Nacional de Protección de Datos en Portugal también ha tenido que actuar en este primer año de implementación de la RGPD, en este caso con una sanción económica mucho mayor. El afectado fue un hospital de Portugal, que debe hacer frente a una multa de 400.000€ por la violación del principio de integridad y confidencialidad y del principio de minimización de datos y la mala praxis del responsable del tratamiento de los datos.
El hospital mantenía abierto el acceso a más de 900 profesionales cuando en plantilla había menos de 300 médicos, por lo que la Comisión valoró que no se habían implementado las necesarias medidas de control y autenticación, ni un sistema de diferentes niveles de acceso. Además, es importante destacar que los datos médicos son considerados por la RGPD como de categoría especial, por lo que necesitan de una mayor protección.
La última multa destacable dentro de la Unión Europea tuvo lugar en Alemania. La autoridad del país le impuso una sanción de 20.000€ a la red social Knuddels después de que más de 800.000 cuentas de correo y más de un millón de usuarios y contraseñas fueran filtradas a causa de un hackeo. Toda esta información sensible no contaba con ningún tipo de protección.
¿Ha habido alguna multa en España? Por ahora no ha habido ninguna sanción económica, pero sí que se ha producido un apercibimiento de conformidad a una empresa propietaria de dos tiendas Xiaomi en Madrid. Tenían unos móviles que enviaban diariamente correos electrónicos que contenían información como la caja y la facturación de la tienda y datos personales de los empleados e incluso de algunos compradores.
Gracias a la buena voluntad de enmendar el error y haber establecido medidas suficientes para aumentar la protección, la AEPD decidió no sancionarlos con una multa, que, en estos casos, podría llegar a los 10€ millones o el 2% de la facturación anual.
Estado actual de la RGPD en España
Además de este incidente, ¿cuál es el estado actual de la RGPD en España? La AEPD desarrolló un informe sobre la situación en el país y su nivel de adaptación, destacando una serie de aspectos a mejorar por parte de las empresas españolas.
Para empezar, la gran mayoría de las empresas cumplen a la hora de identificar al responsable del tratamiento de los datos personales y ofrecer la información de contacto en su página de política de privacidad. Sin embargo, no hacen lo propio sobre la identidad de su representante. Además, un tercio de las empresas no cuentan con la figura del consejero de protección de datos.
En cuanto al consentimiento, la mayoría de las analizadas sigue utilizando una única casilla para dar el consentimiento en bloque, a pesar de que en el texto se enumeren diferentes finalidades para los datos personales. En estos casos, debería aparecer una casilla para cada uno de los propósitos diferentes. El usuario debe poder tener la capacidad de elegir qué desea que se hagan con sus datos.
Los textos legales también pecan de utilizar un lenguaje demasiado ambiguo y expresiones poco concretas, que no aportan información real para el cliente. Ocurre lo mismo con el tiempo de conservación de los datos, que no se expresa con exactitud, o en algunas empresas ni siquiera se detalla este plazo estipulado por la ley.
Por último, uno de los errores más habituales (tres de cada cuatro empresas) es no incluir la base legal que legitima el tratamiento de esos datos personales. La RGPD ofrece seis posibles bases jurídicas para este propósito.
Además de este informe realizado por el organismo competente, la empresa Fellowes realizó un estudio en el que llegaba a la conclusión de que el 14% de los trabajadores españoles no cumple con la RGPD (un dato ligeramente menor de la media europea, en un 18%). Además, el 13% no ha recibido ningún tipo de nota informativa sobre los cambios relativos a la protección de los datos.
La importancia de las cláusulas de la obligada lectura
Después de comprobar que todavía queda camino por recorrer para cumplir con la RGPD, cabe destacar la importancia de que las empresas utilicen soluciones que cumplan con la legislación actual en cuanto a la protección de datos. Como hemos visto anteriormente, incumplir con esta regulación implica sanciones económicas, que, en algunos casos, pueden llegar a ser muy cuantiosas.
Soluciones de firma digital, como es el caso de Viafirma, ofrecen muchas ventajas para cumplir con la legalidad como la cláusula de obligada lectura. La mayoría de las personas no se leen todos los contratos o las políticas de privacidad que le conciernen, y con la solución de Viafirma se asegura la lectura completa de las cláusulas y se ayuda a su compresión.
En definitiva, hay que continuar con el esfuerzo de adaptarse a los últimos cambios de la legislación, que, al fin y al cabo, sólo buscan darle un mayor grado de protección al usuario final. En este proceso, es importante apoyarse en soluciones tecnológicas que reducen el trabajo y hacen las cosas más fáciles.