«La alta gerencia de las empresas españolas no está concienciada de la importancia de la protección de datos”. Lo afirma  Antonio Quevedo Muñoz, CEO y fundador de Audisec, en unas jornadas organizadas por Lefebvre y el Consejo General del Notariado para analizar el primer año de la aplicación efectiva del Reglamento General de Protección de Datos (RGPD), que se cumple el 25 de mayo. Los Delegados de Protección de Datos (DPO) en las empresas «están muy solos», insiste.

Miguel Recio, doctor en Derecho y especialista en Protección de Datos, resalta “la importancia de la independencia de los Delegados de Protección de Datos, tanto si son empleados como consultores externos”.

No obstante, hay empresas que están trabajando en protección de datos. Óscar Casado, Head of Legal (Data Services, Product Privacy and Legal Innovation) de Telefónica, explica que “todos los datos obtenidos en tres plataformas se han volcado en una cuarta plataforma denominada Aura, con la que el cliente interactúa a través de cualquier dispositivo y puede sentir que tiene el control de sus datos gestionando su privacidad, de una manera fácil e intuitiva”.

El Grupo Mutua Madrileña ha creado un área específica de protección de datos. Isabel Molezún, del departamento de Protección de Datos de la aseguradora, además de este comité específico se ha dado prioridad a la formación de los empleados.

Una formación que también juega un papel protagonista en las iniciativas llevadas a cabo por la Fundación Universitaria San Pablo-CEU. Su DPO Gloria Rodríguez Mármol, explica que «la Fundación CEU trata con datos de más de 30.000 alumnos, muchos de ellos menores de edad». «De nada nos sirve tener las cláusulas perfectas si el personal no sabe qué puede y no puede hacer. No hay que gastar en exceso para sensibilizar y concienciar”, señala.

La protección de datos en el sector público

David Gracia, DPO de Ancert -Consejo General del Notariado, señala que “después de la entrada en vigor del Reglamento, hacemos que las notarías tomen conciencia para aplicar las normas». «Hemos designado un equipo técnico evaluador y estudiado las guías de la Agencia Española de Protección de Datos para identificar los riesgos y
evaluarlos”.

María José Blanco Antón, DPO del Ministerio de Presidencia, aporta que “en este momento tenemos 137 tratamientos identificados en el registro». «Pusimos en marcha análisis de riegos y medidas de seguridad, además de talleres específicos, y un trabajo de concienciación de todo el personal, que es la clave para que se llegue a cumplir todo lo que dice el RGPD”.

Susele Cortés, de la Agencia de Servicios Económicos de Málaga, reconoce la dificultad de abordar un proyecto de esta envergadura con las limitaciones de una administración local.

La sentencia del Constitucional

El aniversario del Reglamento General de Protección de Datos viene precedido por la sentencia del Tribunal Constitucional, en la que se anula por inconstitucional el artículo de la Ley Orgánica de Régimen Electoral General que permite a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos. Esta medida se ha tomado tras un recurso presentado por el Defensor del Pueblo.

José Luis Piñar, DPO del Consejo General de la Abogacía Española y exdirector de la Agencia Española de Protección de Datos, destaca que “es la primera vez que el Tribunal Constitucional se enfrenta a un recurso contra una ley aprobada por unanimidad por todos los partidos políticos”. Y cree que el Tribunal «tendrá que definir si el RGPD forma parte del bloque de la constitucionalidad”.

La pérdida del USB con datos desprotegidos

Kingston, fabricante de productos de memoria y soluciones tecnológicas, desvela que, un año después de la implantación definitiva del RGPD, el 71,3% de los empleados ha perdido al menos una vez un USB con documentos de trabajo desprotegidos. En un estudio anterior, era el 68,3%, lo que indica que, a pesar de la nueva normativa, las empresas aún no están cuidando demasiado la protección de sus datos.

Y eso que, en caso de que se produzca una brecha de seguridad que implique una pérdida de datos de clientes o usuarios, las organizaciones se enfrentarían a multas de hasta el 4% de sus ingresos globales anuales o de 20 millones de euros (lo que sea mayor) y deberán informar a las autoridades.

“Hace un año la llegada del RGPD obligaba a las empresas a redoblar sus esfuerzos para combatir la filtración o robo de datos. Sin embargo, a pesar de los esfuerzos todavía queda mucho trabajo por hacer, comenzando por el cifrado de datos de dispositivos de almacenamiento tan comúnmente utilizados como los USB”, indica Pedro González, desarrollador de negocio de Kingston en España.

El artículo 32 del RGPD obliga a las empresas a cifrar los datos, pero el 94% de las memorias USB utilizadas no cuentan con cifrado por hardware, facilitando así el robo de información en caso de que uno de estos dispositivos se pierda o sea sustraído. Por eso, desde Kingston apuntan que el cifrado de datos por hardware en los USB sirve para afianzar la seguridad de la información y para el cumplimiento del reglamento.

«El cifrado de datos por hardware es una solución muy sencilla de implementar. Los usuarios únicamente tienen que teclear una contraseña cuando insertan la unidad en el ordenador, por lo que no requiere de conocimientos técnicos previos ni específicos. Sin duda estamos ante una solución perfecta para que las organizaciones puedan resolver uno de los requisitos más importantes del RGPD”, explica Pedro González.

Hiscox cree que las empresas españolas son las más concienciadas

Casi 1 de cada 10 compañías que suscribieron un seguro para incidentes cibernéticos en 2018 lo hicieron impulsadas por la necesidad de estar cubiertas financieramente en caso de brecha de seguridad que conllevara el incumplimiento del RGPD, según el informe Hiscox Cyber Readiness Report 2019.

El estudio de la aseguradora refleja que las empresas españolas son las más concienciadas ante el cambio regulatorio que ha supuesto el RGPD que cumple un año desde su entrada en vigor: el 68% afirma que garantizar su cumplimiento es prioritario en su estrategia de negocio, 5 puntos por encima de la media de países europeos analizados. Tas las españolas, las empresas más concienciadas son británicas (66%), francesas (65%), alemanas (65%), y cierran el ranking belgas (60%) y holandesas (55%).

En el ranking de concienciación ocupan el primer lugar las empresas dedicadas al sector inmobiliario, donde el 81% reconoce que garantizar el cumplimiento del RGPD es prioritario en su estrategia. Por el contrario, las compañías de la industria de alimentación y bebidas (58%) y de la construcción (52%) son las menos concienciadas.

“Estos resultados ponen de manifiesto que el mensaje de la necesidad de cumplir con el RGPD no ha calado de la misma manera en las diferentes industrias. Llama la atención positivamente la conciencia que se ha producido en el sector inmobiliario, logística y transporte y ocio y turismo, tres de los sectores más importantes de nuestro país, sin embargo, por la misma razón, energía, alimentación y bebidas y construcción deberían aumentar su implicación en esta transformación digital”, afirma Nerea de la Fuente, directora de suscripción técnica de Hiscox.

A medida que disminuye el número de trabajadores también lo hace la concienciación hacia el cumplimiento del RGPD. Mientras que el 72% de las empresas con más de 50 empleados afirman que han integrado el Reglamento en sus estrategias empresariales, el porcentaje basa al 62% en  las pymes, y hasta el 58% en las microempresas (entre 1 y 9 empleados).

“Aunque esta realidad no pude sorprender a nadie, ya que las grandes empresas cuentan con mayores recursos dedicados a la seguridad de sus datos, si debe servirnos al menos para insistir a autónomos y microempresas sobre la necesidad de implementar una estrategia de ciberseguridad en su actividad ya que nunca han manejado tantos datos como los que gestionan hoy, y el Reglamento se aplica a todos, independientemente del tamaño o actividad que realicen”, comenta Nerea de la Fuente.