Entrevista a Natalia Núñez López, técnica del Departamento de Cumplimiento de Mutualidad de la Abogacía
28 de enero: Día Europeo de la Protección de Datos
En el Día de la Protección de Datos, ¿qué medidas recomiendas a las empresas y a los usuarios para blindarse de cualquier incidencia?
A las empresas les diría que continúen invirtiendo los recursos necesarios para reforzar sus procedimientos en materia de protección de datos y seguridad de la información, con especial atención en el momento actual a los supuestos de teletrabajo. A los usuarios, a tomar conciencia sobre el tratamiento de sus datos personales que se realiza en los distintos servicios, páginas web o aplicaciones que utilizamos, para lo cual deben dedicar algunos minutos a leer y comprender sus políticas de privacidad y gestionar sus cookies. También, recomendaría mucha precaución cuando se reciban correos electrónicos y mensajes en los que se solicite información o datos bancarios para evitar ser víctimas de phishing. En relación con estas cuestiones, me parece muy útil la lectura de la Guía de Privacidad y Seguridad en Internet de la Agencia Española de Protección de Datos.
Si tenemos en cuenta que el grado de privacidad de los datos está asociado a la edad –no la entiende igual un joven de 18 años, usuario intensivo de redes sociales, que un adulto de 50–, ¿dónde estaría el equilibrio para la protección de datos y, por extensión, del resto de los derechos digitales?
Es cierto que se observa que en la sociedad existe un entendimiento diferente de lo que es la privacidad, asociado a la edad. Los más jóvenes, en general, son menos celosos de su intimidad e incluso, en ocasiones, les resulta atractivo facilitar sus datos para obtener algunas ventajas (por ejemplo, para recibir ofertas o servicios personalizados). Pero no podemos olvidar que el derecho fundamental a la protección de datos atribuye al usuario capacidad de control y disposición sobre el mismo. Y para mí esta es la clave, lograr que esas capacidades de control y disposición sean reales.
En ese sentido, ¿cómo poner límite a la cesión de datos personales que muchas empresas tecnológicas monetizan a cambio del uso gratuito de sus productos y servicios?
Si esta actividad se realiza dentro de los límites impuestos por el marco legal, hay algo que sí está en la mano de los usuarios: su deber de información. Una vez cuenten con la información sobre el tratamiento de sus datos, los terceros a los que se cederán datos y la finalidad de la cesión, deberán valorar si están dispuestos a pagar ese precio por el uso de un producto o servicio.
¿Existe el riesgo cero en la gestión y tratamiento de datos personales?
Lamentablemente, no. El tratamiento de datos personales nace expuesto a riesgos que pueden tener un elevado impacto tanto para los derechos y libertades de los interesados como para las empresas que tratan su información de carácter personal. Partiendo de esta premisa, lo fundamental es que las empresas cuenten con procedimientos de gestión de riesgos que permitan identificar, evaluar, prevenir y/o mitigar dichos riesgos. Por este motivo, la normativa nos impone adoptar ciertas medidas de gestión del riesgo como, por ejemplo, documentar los procesos asociados al ciclo de vida de los datos, registrar las actividades de tratamiento, realizar evaluaciones de impacto o nombrar un delegado de Protección de Datos en algunas empresas que realizan un tratamiento más intensivo de datos personales, como es el caso de las entidades aseguradoras.
¿Cuáles son los principales riesgos del tratamiento de datos mal gestionado, y sus implicaciones legales y reputacionales?
Los riesgos asociados son numerosos y afectan tanto a los interesados como a las empresas que tratan sus datos personales. Así, los derechos y libertades de los interesados pueden verse afectados de modo que, por ejemplo, estos reciban publicidad no deseada o se vean sometidos a un trato discriminatorio (pensemos en los riesgos asociados a la toma de decisiones automatizadas o al uso de la inteligencia artificial en determinados productos y servicios); mientras que, para las empresas, los riesgos de una gestión inadecuada de los datos personales pueden ocasionar un impacto de índole legal y reputacional.
Uno de los riesgos más relevantes por su impacto tanto para los interesados como para las empresas es el de que se produzca una pérdida de la confidencialidad de la información, de forma que ésta pueda llegar a verse expuesta a terceros no autorizados. Como es sabido, el impacto económico de una posible sanción por un incidente de este tipo tras la entrada en vigor del Reglamento General de Protección de Datos, podría ascender –en los casos más graves– a 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Sin olvidar que también ocasionaría un impacto en la imagen y reputación de la entidad, en tanto dicha pérdida de confidencialidad se deba comunicar a los afectados y a la Agencia Española de Protección de Datos, que sería más complicado de cuantificar a priori, pero igualmente muy dañino, pudiendo amenazar la continuidad de la organización.
¿Qué rol desempeña el área de Cumplimiento en la protección de datos?
En el área de Cumplimiento y Legal de Mutualidad de la Abogacía velamos por que se garanticen los derechos de protección de datos de nuestros mutualistas, a la vez que asesoramos a la entidad con la finalidad de que desarrolle su actividad conforme a la normativa.
¿Cuál es el nivel de cumplimiento normativo de las empresas en España en el ámbito de la protección de datos?
En mi opinión, las empresas realizan grandes esfuerzos por mantener altos estándares del cumplimiento de la normativa de protección de datos y colaborar solo con organizaciones que reúnan esos mismos estándares. Lo contrario, por tanto, no solo puede ocasionar los riesgos que comentábamos anteriormente, sino que hoy en día puede dejarte fuera del mercado.
La promoción de una cultura ética empresarial es el propósito que persiguen los programas de cumplimiento. ¿De qué estrategias o instrumentos se sirve para lograrlo?
Hay algunos elementos internacionalmente reconocidos como pilares fundamentales para promover una cultura ética empresarial, como son el denominado tone from the top o compromiso de la Alta Dirección, el empoderamiento de la Alta Dirección al Compliance Officer y los programas de formación y concienciación. También añadiría el acompañamiento continuado del área de Cumplimiento a las distintas áreas de la organización en la definición y desarrollo de sus proyectos y actividades.
Los expertos identifican cuatro barreras frente la protección de datos: la gestión de cookies, las nuevas ciberamenazas, las dificultades de los usuarios o clientes a ejercer sus derechos y la falta de una política de privacidad interna. ¿Cómo romperlas o superarlas?
Estas cuatro barreras son muy heterogéneas, por lo que las analizaría por separado. Sobre la gestión de cookies, recomendaría que se valore su importancia al mismo nivel que el cumplimiento de la política de privacidad y resto de procedimientos de protección de datos, a pesar de que sea una materia más desconocida para los usuarios por su complejidad.
En cuanto a las ciberamenazas, creo que es fundamental contar con el apoyo de un equipo especialista en ciberseguridad y procedimientos en permanente actualización y desarrollo para tratar de hacer frente a la continua sofisticación de los ciberataques.
Para superar las dificultades de los usuarios o clientes a ejercer sus derechos, recomendaría que se simplificasen los procesos para el ejercicio de derechos tanto de cara al cliente, disminuyendo los requerimientos burocráticos, como internamente para su aplicación en la organización.
Por último, en el punto sobre la falta de una política de privacidad interna, aconsejaría la realización de acciones de formación y concienciación continuas a todos los empleados, de forma adaptada a su posición en la organización y el tipo de tratamiento de datos personales que realizan.
¿Qué consejo final darías a empresas y usuarios ante una brecha de seguridad de datos para minimizar su impacto?
Ante una brecha de seguridad es preciso actuar con muchísima rapidez e intensidad para minimizar su impacto. Para ello, es muy importante la colaboración transversal y multidisciplinar: serán necesarias actuaciones inmediatas en materia de seguridad tecnológica, pero también un análisis regulatorio de la situación (con posibles notificaciones a la AEPD, a los afectados o a la Policía), actuaciones desde el punto de vista de la comunicación institucional y la protección de la imagen pública, entre otras.
Todo ello requiere estar preparado, disponer de un plan de continuidad que prevea estas situaciones. Estar preparado es la clave para una reacción rápida, ordenada y lo más acertada posible.
