Las sanciones de la AEPD preocupan a los CEO de las grandes empresas: Han aumentado un 107 %

 

La preocupación por las multas millonarias en materia de privacidad que impone la Agencia Española de Protección de Datos (AEPD), la dependencia directa del delegado de Protección de Datos (DPO, por sus siglas en inglés de «Delegate Protection Officer») respecto a su Dirección General y la regulación de las transferencias internacionales de datos son algunas de las cuestiones que están encima de la mesa de las grandes compañías de este país.

“Lo primero son las sanciones (62 %) que puedan llegar de la AEPD. También el daño reputacional (52 %) que puede generar y la gestión de las brechas de datos (42%). A lo largo de este año las multas de la AEPD han crecido de forma notable y esto genera la preocupación de las empresas”, explica Carlos Saiz, vicepresidente de ISMS Fórum Spain, director del Data Privacy Institute y socio de Ecix Group.

Es lo que se desprende de la encuesta que ha realizadopor cuarto año consecutivo el Observatorio del Data Privacy Institute que acaba de presentarse en el XIV Foro de la Privacidad organizado por ISMS Fórum y que, en formato híbrido, reunió a medio millar de expertos en privacidad, entre DPO y abogados especializados en la materia.

“En España se ponen muchas más sanciones que en cualquier país de la UE; no son las más cuantiosas, pero si las más frecuentes», según Carlos Saiz

Todos ellos son integrantes de la Comunidad de delegados de Protección de Datos, creada en el seno de esta entidad que agrupa a más de doscientos relacionados con distintos sectores de actividad económica y el propio sector público.

Saiz destaca de este análisis la importancia de la privacidad en las organizaciones como un elemento estratégico.

Recuerda que “en España se ponen muchas más sanciones que en cualquier país de la UE, no son las más cuantiosas, pero si las más frecuentes. En el 2021 se pusieron 183 sanciones, el segundo país es Italia cercana a la treintena”.

De acuerdo con Lucía Sánchez-Ocaña, directora de «Compliance «y de privacidad de la multinacional Cabot Financial en España, que tomó parte en la encuesta, el importe de las sanciones «ha crecido un 107 %. Se han incrementado el número de sanciones y al mismo tiempo su cuantía».

En muchos casos la tendencia tiene que ver con la obligación de obtener resultados.

“Este es un debate abierto las empresas deben dotarse de las mejores medidas, pero no están exentas de tener una incidencia o una brecha de datos. No hay una seguridad al cien por cien que se pueda garantizar”, aclara Saiz.

Reglamento General de Protección de Datos

El objetivo ha sido tratar de analizar el grado de implementación del Reglamento Europeo de Protección de Datos (RGPD) cuando en mayo del 2022 se va a cumplir su cuarto año de implementación.

Para este jurista “uno de los temas que más llaman la atención de esta encuesta es a quién reporta el delegado de Protección de Datos en su trabajo, se incrementa la relación con los CEO (16 %), presidente o Consejo de Administración. También con la Comisión de Auditoria otro 1 5%. Cada vez más los DPO reportan a las altas instancias de la empresa”.

También señala que hay un grupo que aún reporta a la dirección jurídica (25 %). “Pero esta relación directa con la dirección de la compañía hace que el DPO gane terreno porque está logrando tener un nivel de incidencia mayor. Hace cuatro años la relación era más con el Director de Seguridad (CISO) o a nivel Juridico, pocos saltaban a estos niveles de dirección”.

Este es un tema que viene regulado en el RGPD [Reglamento General de Protección de Datos] «cuando dice sobre su regulación que debe reportar a las más altas instancias. Por el momento no ha sido sencillo lograrlo. Pero los pasos datos hasta el momento son importantes. Esta línea directa con la empres permite al DPO reclamar mas medios para hacer su trabajo en garantías”, explica.

Otra cuestión de este estudio tiene que ver con lo que preocupa a la dirección de estas empresas cuando reciben el informe del DPO.

Por el momento, mientras se espera el fallo de la Sala Contencioso del Supremo sobre este debate en cuanto a obligación de resultados, desde la AEPD se remarca que si hay un problema o una brecha de seguridad implica que las medidas no son suficientes.

En cuanto a los retos que tienen que abordar los DPO en este nuevo año, el 28 % de esto profesionales buscan «alinear la política de privacidad al estándar ISO 27701 recién salido, a nivel de buenas prácticas en materia de privacidad.  Se le da mucha importancia para cerca del 28% de los encuestados”´.

Junto a este asunto “otra cuestión que preocupa es que regule mejor las transferencias internacionales de datos que es otro tema de calado porque ahora hay una incertidumbre jurídica notable tras anular el ‘TJUE Privacy Shields’, que regulaba las relaciones EEUU y UE».

El 28 % de esto profesionales buscan alinear la política de privacidad al estándar ISO 27701 recién salido, a nivel de buenas prácticas en materia de privacidad

En cuanto a esta cuestión “no parece que vaya a existir un método común, como hasta ahora Habrá que utilizar las cláusulas contractuales tipo, hacer un análisis de riesgo o buscar un acuerdo entre EEUU y Europa, que no será fácil. Parece que habrá varias medidas en función de como las empresas valoren los riesgos en dichas operaciones internacionales”.

Los DPO crecen en competencias

Para Lucía Sánchez-Ocaña, directora de «Compliance «y de privacidad de la multinacional Cabot Financial en España, “esa dependencia directa con la dirección de la compañía ayuda a que podemos hacer nuestro trabajo con independencia. Es una posición de asesoramiento a negocio importante. Esa línea directa es lógica porque la dirección de la compañía tiene responsabilidad final como responsables de tratamiento”.

Desde esta perspectiva “agiliza mucho la labor de los DPO y ayuda mucho a impulsar el principio de responsabilidad proactiva que viene en el seno del RGPD europeo. Por la afinidad de roles, la propia AEPD resolvió en una consulta que se le hizo que era compatible el papel de ‘Compliance Officer’ con el de Delegado de Protección de Datos”.

Sánchez-Ocaña reconoce que la entrada del RGPD y su nuevo modelo de concebir la privacidad “ha hecho que hayamos tenido que revisar todo nuestro modelo de protección de datos. Se aplican más medidas técnicas y organizativas en las compañías porque el dato impera más recursos para su gestión de acuerdo a la normativa vigente. Los dos primeros años tras su entrada en vigor hicieron que las empresas invirtieran bastante”.

Se trata de mostrar a la AEPD, «si te llega un requerimiento la debida diligencia, uno es el principio de responsabilidad proactiva: nos adelantamos en lo que pueda suceder al tener un enfoque basado en el riesgo y el principio de transparencia tanto a nivel de los datos de los interesados que gestionamos como con la autoridad de control”.

Para esta experta, “estos dos principios gestionados de forma alternativa es lo que garantiza un buen tratamiento de datos personales de acuerdo al propio RGPD. Ahora es importante saber gestionar los requerimientos y sanciones que te puedan llegar. Las sanciones que ahora se imponen son muy elevadas y ahora entiendo que sea una de las principales preocupaciones de los CEO”.

Añade: «En este tipo de situaciones es fundamental tener un protocolo para saber gestionar ese requerimiento de la AEPD como una hipotética sanción. Esa respuesta debe ser clara para evitar que se incoe un procedimiento sancionador”.

El trato con la autoridad de control «es razonable siempre y cuando demuestras tu responsabilidad proactiva como el de transparencia. Se trata de demostrar que disponemos de un control interno que permite el cumplimiento del RGPD”.

En su opinión, “hay que darse cuenta que el RGPD tiene una parte interpretativa notable, de ahí que las guías que la AEPD ha venido publicando estos últimos años sobre diferentes cuestiones sean bastante útiles para que empresas y administraciones gestionen mejor su privacidad”.

A su juicio “la formación en materia de privacidad tiene ahora que evolucionar. Si al principio se impartía para entender el RGPD, ahora es más específica en cuanto a la operativa de cumplimiento en las distintas áreas de negocio. Tener una figura como el DPO que se encargue de la supervisión del cumplimiento del RGPD y la LOPDGDD nacional es bastante necesario”.

Origen: Confilegal

Autor: Luis Javier Sánchez

País: España

Fecha: 21/02/2022

Para leer el artículo original pulsa aquí

Leave a Reply