“Sólo el 10% de las empresas europeas podrían cumplir con la nueva normativa de protección de datos”

Estrategia de Canal

Leopoldo Mallo, director general de Alcatraz Solutions, expertos en cumplimiento normativo, profundiza en esta entrevista en las implicaciones de la nueva ley de protección de datos propuesta por Europa.

A primeros de año la Unión Europea anunciaba una revisión de la Ley de Protección de Datos del Viejo Continente. Se exige más control de los datos y se contemplan cuantiosas multas para los que no cumplan con una propuesta que pocas empresas europeas estarían en condiciones de cumplir.

En su calidad de expertos en cumplimiento normativos, la empresa Alcatraz Solutions ha sido la única de las contactadas en poder cumplimentar un cuestionario que la redacción de ChannelBiz elaboró consciente de los cambios que muchas empresas van a tener que adoptar para poder cumplir la nueva propuesta de ley.

– ¿Cuáles cree que son los objetivos de la Comisión Europea con estas revisión?
Entendemos que la Comisión Europea pretende con esta revisión unificar el régimen sancionador, en aras de hacer una normativa sobre protección de datos mucho más regulada y normalizada. Actualmente existen 27 países en la Unión Europa y 27 leyes distintas, dado que cada país puede aplicar la singularidad del mismo a su propia Ley, lo que provoca que no existan dos iguales. Entiendo que esto preocupa a la Comisión Europea y de ahí esta propuesta de cambio.

– ¿Cree que es necesaria una revisión?
Basándome en la anterior respuesta, Sí, es necesario unificar el criterio existente sobre Protección de datos en los diferentes países de la Unión Europea y esto es un paso más hacia ello.

– ¿Cree que la nueva directiva es demasiado exigente con la empresa sin poner límites a los usuarios, que son quienes libremente ceden sus datos?
La normativa sobre protección de datos tiene por objeto garantizar el poder de disposición y el control por parte de los interesados –titulares de los datos- en relación al tratamiento que de sus datos hagan las organizaciones de índole pública o privada. Es como consecuencia de este contenido que los interesados deben consentir y estar debidamente informados sobre el tratamiento de sus datos, puesto que son ellos los únicos capacitados para disponer de los mismos. Es por esta razón que las empresas deben garantizar la seguridad de la información que el interesado les ha autorizado a utilizar y, es también por este motivo, que debe informársele sobres las violaciones de datos (brechas de seguridad) que se produzcan en relación a dichos tratamientos, ya que puede ser un criterio determinante a la hora de decidir contratar con una organización u otra, y por tanto autorizarla para tratar sus datos.

El problema principal del texto de la propuesta es que es demasiado generalista y está supeditado a su concreción a través de actos delegados de la Comisión, a través de los cuales, esperemos, se module y defina con mayor claridad el régimen de obligaciones aplicables a responsables y encargados del tratamiento; entre ellas, que se concrete en qué casos debe comunicarse una brecha de seguridad, ya que realizar dicho trámite para cualquier “incidencia” que se produzca en relación a los sistemas de información que tratan los datos de carácter personal supondría una carga administrativa innecesaria e injustificada, sobre todo si se tiene presente que una de las finalidades del Reglamento propuesto podría ser simplificar los trámites exigibles para el cumplimiento de esta normativa.

– ¿Cambiaría alguno de los puntos de la nueva ley? ¿Quizá las multas?
Creo que no es tanto entrar a valorar si las sanciones son las adecuadas o no, lo que si es cierto, es que dependiendo de los países, el que exista sanción es un elemento “motivador” para que las empresas se adapten, quizás no sea lo más adecuado, pero es una manera de hacer que esta Ley se cumpla. La idea de esta propuesta es endurecer las sanciones, sobre todo a las empresas multinacionales, de ahí la propuesta del 2% de la facturación mundial de la Compañía.

– Las nuevas propuestas, ¿nos asemejan más con la directiva de protección de datos de Estados Unidos?
No. Actualmente en los Estados Unidos no existe propiamente una normativa sobre protección de datos personales de carácter integral. La protección ofrecida por la legislación norteamericana es parcial, en cuanto que  se extiende sólo a la protección del individuo contra la intrusión del gobierno y, por tanto, no regula el uso de la información por el sector privado en general, sino por sectores concretos que ha sido regulados por leyes federales diferenciadas.  Recientemente la Casa Blanca ha lanzado un proyecto de ley sobre la Privacidad como Derecho de los Consumidores, en el que se regulan un conjunto de principios reguladores sobre cómo las empresas deben manejar la información personal de los consumidores.

Este proyecto de ley es bastante controvertida desde el momento que no tiene fuerza coactiva de ningún tipo, se prevén derechos y principios de actuación que deben implantarse por la entidades privadas pero no se prevé ninguna sanción si sus preceptos se incumplen. Además sólo protege la información de las personas físicas únicamente en tanto tengan la condición de consumidores, haya una relación comercial con la entidad que trata la información, no con carácter general, con cualquier interesado. Otra característica reseñable de esta norma es que el derecho de cancelación no tiene el mismo contenido que en el ámbito europeo, ya que la entidad podrá seguir tratando la información si considera que sigue siéndole de utilidad aunque el consumidor se dé de baja del servicio de que se trate. Por otro lado, a nivel estadounidense, también debe tenerse presente el proyecto de ley conocido como CISPA, que supone que el gobierno pueda recabar datos en la red de cualquier ciudadano en el país; esta injerencia se legitima, entre otros argumentos, por la persecución de la delincuencia cibernética o ciber-delincuencia (definida como cualquier delito que implique interrupción en la red, hacking o piratería además de cualquier violación de la CFAA).

Realizando un análisis comparativo de la normativa europea y la estadounidense no puede entenderse que con la aprobación de la propuesta de Reglamento presentada por la Comisión, Europa se aproxime a las leyes federales de EEUU. Nuestra normativa persigue garantizar el poder de disposición y control de los interesados sobre sus datos, a diferencia de la legislación norteamericana que tiene como objetivos la seguridad del Estado a cualquier precio y permitir el uso de la información mientras ésta sea útil para la entidad que la trata vaciando de contenido el principio de calidad.

– La Unión Europea se propone proteger los datos de los ciudadanos europeos aunque estén en Estados Unidos. ¿Cómo cree que será posible?
De igual forma que sucede en otras materias, en las que podrían aplicarse diversas legislaciones nacionales o ser competentes diferentes foros, deberá resolverse mediante la aplicación de las normas de derecho internacional. Si la controversia se planteará en alguno de los Estados de la Unión, se aplicaría el Reglamento General de Protección de Datos de conformidad con el ámbito previsto en su articulado, según el cual “el presente Reglamento de aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados ; o con el control de su conducta”.

La resolución o sentencia que se dictase y tuviese que desplegar efectos en un Estado no miembro, debería ser reconocida o ejecutada por las autoridades competentes en el país de que se trate de conformidad con su ordenamiento jurídico. En el caso de Estados Unidos como quiera que no existe ninguna obligación por parte de los tribunales estatales y federales en cuanto a reconocimiento automático de sentencias extranjeras, ni existen tratados o convenios internacionales firmados ni ratificados en la materia, habría que estar a las normas de cortesía internacional y al principio de cosa juzgada.

– ¿Qué supone esta nueva normativa para los proveedores de cloud?
Los proveedores de servicios en la nube son por definición encargados del tratamiento y la propuesta de Reglamento incrementa las garantías que éstos deben de cumplir en relación al tratamiento de datos personales por cuenta del responsable del tratamiento. Actualmente, además de implantar las medidas de seguridad necesarias para garantizar la seguridad de la información que tratan, deben suscribir el pertinente contrato de acceso regulando las condiciones del tratamiento que desarrollarían en nombre del responsable y, en su caso, detallar dichos tratamientos en su documento de seguridad. Con la propuesta comunitaria, asumen nuevos deberes, como la conservación de la documentación asociada a la gestión de la protección de datos, de forma que por cada tratamiento que realicen deben conservar la información mínima descrita en el Reglamento, o la necesidad de realizar una  evaluación de riesgos para determinar las medidas apropiadas para garantizar un nivel de seguridad adecuado; o, designar un delegado de protección de datos en los casos previstos por la norma comunitaria, etc. Además el régimen sancionador podrá aplicársele directamente, no sólo por un incumplimiento de las instrucciones recibidas por el responsable, sino por la comisión de cualquiera de las conductas tipificadas como sancionable (p.ej. no conservar la documentación que hemos comentado anteriormente podrá sancionarse con multa de hasta 500.000 euros o, si se trata de una empresa, de hasta el 1% del volumen de negocios anual a nivel mundial).

– ¿Qué país europeo cree que a fecha de hoy estaría más cerca de la ley con las nuevas propuestas?
Lamentablemente no podemos identificar España como país europeo cree que a fecha de hoy estaría más cerca de la ley con las nuevas propuestas. Partiendo de que la nueva propuesta prevé figuras como el Delegado de Protección de Datos, que es una institución que hasta de día de hoy no era obligatorio ni había sido previsto en la mayoría de legislaciones de los Estados Miembros de la Unión Europea, podríamos identificar como países más próximos a Alemania y Países Bajos, que sí han previsto este tipo de figuras (La primera referencia normativa de la institución, aplicada al régimen jurídico del tratamiento de datos personales, la encontramos en la Ley Federal de Protección de Datos de la República Federal Alemana de 1977, en la cual cada departamento administrativo o empresa privada que procesaba datos nominativos debía designar un comisario de protección de datos dependiente de la entidad tratante, con formación profesional calificada, quien velaría por la observancia de la ley, sin quedar sujeto a instrucciones superiores para tal fin).

Asimismo, aquellas organizaciones con una tradición en materia de gestión de seguridad de la información, en los términos previstos por la ISO/IEC 27001, siempre estarán más próximas al cumplimiento de estas propuestas ya que la misma introduce conceptos propios de este sector de actividad, como es el análisis de riesgos.

–  A fecha de hoy, ¿cuántas empresas europeas cree que podrían cumplir la nueva directiva? ¿cuántas serían capaces de detectar una brecha de seguridad?
Según la memoria emitida por la AEPD en relación a las actividades desarrolladas en el año, el porcentaje de cumplimiento de la normativa sobre protección de datos a nivel español, actualmente se sitúa entorno al 18%. En este sentido, teniendo presente que dicho porcentaje se refiere a la legalización de ficheros, no a la gestión de la seguridad propiamente y, por tanto, a la detección y resolución de incidencias o brechas de seguridad, puede concluirse que dicho porcentaje será bastante inferior al indicado. Estas cifras pueden extrapolarse al resto de Estados miembros, de forma que podría concluirse, teniendo en cuenta la existencia de otras normas aplicables y la propia evolución de esta materia en cada Estado, que alrededor del 5-10% de las empresas europeas podrían empezar a implantar la propuesta de Reglamento.

Existen estudios y/o encuestas realizadas por varios organizaciones públicas y privadas, como Iron Mountain y PwC., entre otras, en las que se analizan por ejemplo el grado de gestión de la seguridad de la información confidencial a nivel europeo, siempre en un porcentaje superior al 50% de los encuestados se detecta una mala gestión; bien por desconocimiento de la producción de incidencias, bien por falta de supervisión de las medidas de seguridad definidas con carácter preventivo para evitar su producción, bien por la falta de formación de los sujetos intervinientes en su gestión.

– ¿Cree que la directiva será una oportunidad de negocio para las empresas de seguridad?
Por supuesto que sí. Es un mercado que tiene mucho por hacer. No sólo la Protección de Datos es un mercado potencial importante, piensa que sólo en nuestro país estamos hablando de un mercado potencial, tan sólo en Pymes, de más de 1.300 millones de euros, pero el negocio más importante es todo lo que rodea al cumplimiento de esta Ley, en este y en cualquier país.

Las empresas de consultoría o seguridad tecnológica tienen mucho trabajo, colaborando con las empresas, en la adaptación de las medidas adecuadas para el cumplimiento de la normativa de Protección de datos.


Leer la biografía del autor  Ocultar la biografía del autor