menu close Media EventosNoticiasContacto search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaFrench PolynesiaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCameroonCentral African RepublicCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSeychellesSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemenZimbabwe
Servicios
close Servicios
Servicios
Sectores
close Sectores
Sectores
Temas de interés
Conócenos
close Conócenos
Conócenos
Carreras profesionales
EventosNoticiasContacto
search close
Mensaje en una botella de vidrio

Reflexiones tras dos años de adaptación al RGPD

Yazomary García, Senior Manager Consultoría de GRC (Gobierno, Riesgo y Cumplimiento)
02/07/2020
Mensaje en una botella de vidrio

Pasados dos años del obligado cumplimiento del Reglamento General de Protección de Datos (RGPD) es momento de mirar atrás y ver cómo se ha recorrido este camino. Es innegable que esta normativa ha supuesto un antes y un después para la protección de los datos personales de los ciudadanos europeos, pero, a pesar del tiempo que concedieron las autoridades para prepararse de dos años, sigue habiendo mucho trabajo por delante por parte de algunas empresas.

La aplicación del reglamento supuso un shock para muchas compañías, generando un cierto caos inicial ya que por primera vez se vieron obligadas a determinar una mejor estrategia tanto para la protección de los datos personales como para garantizar los derechos y las libertades de sus interesados, es decir, apelar a la responsabilidad proactiva. La Agencia Española de Protección de Datos (AEPD) resumió el principio de esta “era” en una frase sencilla y directa: “no incumplir ya no será suficiente”.

Las excusas se están acabando

A pesar del tiempo transcurrido, un estudio reciente realizado por la prestigiosa empresa de Ciberseguridad Check Point, arroja datos preocupantes que demuestran que a día de hoy la mitad de las compañías en España todavía no están preparadas. Tanto es así que solo el 52 % se han adaptado totalmente al RGPD, dato que refleja que el resto podría no haber tomado medidas o seguir en proceso de adaptación, lo que es alarmante tras dos años de entrada en vigor del reglamento. Actualmente la AEPD lleva publicadas más de 70 guías para facilitar el cumplimiento del RGPD, estrechando y facilitando la interpretación de la normativa. A todo esto, se le suma el hecho de que muchas empresas expertas en protección de datos ofrecen servicios de adecuación y asesoramiento para la adaptación y cumplimiento del reglamento.

Se endurecen las sanciones

Fuentes oficiales confirman que, hasta hace poco, la AEPD ha sido bastante moderada a la hora de aplicar su capacidad sancionadora, pero como ya ha pasado suficiente tiempo para la plena adaptación por parte de las compañías, empezará a ponerse más estricta y menos permisiva. Aunque actualmente la AEPD se ha mantenido en un perfil moderado en materia de sanciones, cabe destacar que España lidera la tendencia como el regulador más activo de Europa, seguido por Rumania y Alemania.

En España, a lo largo del 2019 se llegaron a contabilizar más de 1000 brechas de seguridad, con sanciones totales por parte de la AEPD que llegaron a más de un millón de euros y parece que este año las cifras no son más alentadoras.

Una gran cantidad de las sanciones impuestas en nuestro país, han sido a causa de brechas de seguridad en los sistemas de almacenamiento de datos por la falta de implementación de medidas de seguridad. Sin embargo, la gran mayoría, son infracciones contra los principios de procesamiento de datos (art. 5) y legalidad del procesamiento (art. 6), artículos que gestionan los principios clave de precisión y calidad de los datos, y como procesarlos (ejemplos de mala o nula obtención de consentimientos y otras bases legales).

Sanciones por incumplimiento del RGPD

Las sanciones impuestas por la AEPD han recaído tanto en pequeñas como en grandes empresas, con sanciones económicas que oscilan entre los 800 € y los 250.000 € en función del incumplimiento.

Cabe destacar que el régimen de infracciones en materia de protección de datos se divide en tres categorías: muy graves, graves y leves, siendo las muy graves y graves las más relevantes: 

  • Infracciones muy graves que se sancionan con multas administrativas que pueden alcanzar los veinte millones de euros o, de una cuantía equivalente al 4% de la facturación.
  • Infracciones graves que se sancionan con multas administrativas que puedan ascender hasta los diez millones de euros o, de una cuantía máxima del 2 % de la facturación.

Como tendencia para este año 2020, se espera una próxima oleada de procedimientos y sanciones por no gestionar de manera adecuada los derechos de privacidad de las personas y por no exigir a los proveedores (terceros) medidas técnicas y organizativas para asegurar los datos que almacenan o tratan.

¿Cuál será el camino correcto a seguir a partir de ahora?

Ya han pasado cuatro años desde el anuncio y aplicación del RGPD y es indudable que hemos ganado en transparencia, derechos, concienciación, seguridad y homogeneidad en el tratamiento de los datos, pero todavía hay muchos aspectos que quedan pendientes de mejorar.

Durante el estado de alarma provocado por el coronavirus, muchas compañías han impuesto el formato de teletrabajo sin ser conscientes de los riesgos que esto conlleva a nivel de tratamiento de datos y brechas de seguridad. Desde la AEPD se han publicado recomendaciones para proteger los datos personales ante las actuales situaciones que han surgido por el COVID-19.

El camino a seguir no es otro que el marcado por el reglamento, y las rutas seguras son las proporcionadas por la AEPD. Aún con todo eso, lo primero que deben hacer las compañías es concienciarse del momento que estamos viviendo y poner la seguridad de los datos como una de sus prioridades.

La aplicación del reglamento solo es el principio. Una vez realizada la adecuación se debe mantener una responsabilidad proactiva y realizar auditorías externas periódicas para comprobar el nivel de eficacia de las medidas técnicas y organizativas implantadas, garantizando la seguridad del tratamiento de los datos y el correcto cumplimiento de la normativa vigente.

No cabe duda de que desde su entrada en vigor en 2016 y su obligado cumplimiento en 2018, el RGPD ha agitado la privacidad de los datos a nivel europeo, incrementando la concienciación relacionada con la privacidad y protección de la información y llevándolos al centro del debate. Todavía queda mucho por hacer, pero por suerte el camino ya está trazado.

Otros temas que te podrían interesar

El nuevo Reglamento General de Protección de Datos
Te guiamos para adecuar tu empresa al nuevo Reglamento.
Impacto de la nueva Ley Orgánica 3/2018
Con la nueva Ley de Protección de Datos ofrecemos un valor añadido combinando Gestión de Riesgos y Compliance.
Un mes para la contratación del Delegado de Protección de Datos
Las empresas que requieran un Delegado de Protección de Datos (DPO) tienen un mes para contratarlo para cumplir con el nuevo RGPD.