Las empresas españolas son cada vez más conscientes de la importancia de respetar las normas sobre protección de datos. Casos como los de Santander, que sufrió una filtración de datos personales de sus clientes o Telefónica, que investigó una brecha de seguridad en mayo, han llevado a las grandes corporaciones e incluso las pymes a intentar adecuar sus sistemas de privacidad a las leyes para evitar sanciones. En este contexto, el despacho de abogados español Ecija, especializado en el asesoramiento jurídico en protección de datos, recomienda a las compañías una mayor coordinación, e insiste en la necesaria formación de los equipos para actualizar continuamente sus sistemas de privacidad y adaptarse a una normativa cada vez más exigente.
En 2023, la Agencia Española de Protección de Datos (AEPD) ha impuesto un total de 357 sanciones a empresas por un importe que asciende a más de 16 millones de euros por infracciones en privacidad. Una de las principales dificultades a las que se enfrentan las compañías en cuestión de protección de datos es la “falta de medios personales”, según destaca el despacho de abogados. Para el socio Daniel López, si bien se ha generalizado la contratación de un delegado de Protección de Datos (DPO por sus siglas en inglés) en las grandes corporaciones, la normativa exige cada vez más a esta figura.
A nivel europeo, el Reglamento General de Protección de Datos (RGPD) establece funciones básicas para el DPO como informar y asesorar a los empleados sobre las obligaciones en materia de privacidad, pero la ley nacional (LOPDGDD) especifica funciones adicionales como “emitir recomendaciones, documentar cualquier vulneración relevante o comunicar a los afectados la decisión que haya tomado el responsable del tratamiento” (art.36). Según asegura López, el DPO “no puede encargarse de todo. Hay que reasignar las funciones con otras áreas”.
La generalización de la Inteligencia Artificial también lo pone más difícil para las empresas. Si bien es cierto que resulta una herramienta práctica para recopilar informaciones personales, supone también nuevos retos para el cumplimiento de las leyes sobre protección de datos. Para la socia de Ecija, María González, es fundamental que las firmas “recolecten solo información necesaria y relevante sobre el cliente” y que “se compruebe siempre de dónde se obtienen los datos conseguidos por IA”. Las compañías tienen que saber evaluar el riesgo de la aplicación de Inteligencia Artificial a nivel interno e informar a los clientes sobre el propósito de la recopilación de datos. “Cualquier tratamiento de dato puede ser crítico”, ha señalado González durante un evento celebrado esta semana al que han acudido más de 90 representantes de firmas como BBVA, Iberdrola, Michelin, Prisa e Inditex.
Para Jesús Yáñez, socio de ciberseguridad de Ecija, el sector financiero es uno de los más afectados por la normativa en materia de protección de datos. Los bancos no solo se enfrentan al reglamento europeo DORA, que establece requisitos relativos a la seguridad de las redes, sino también a la normativa PS2, que regula los servicios de pago. “La normativa pide ser diligente”, ha añadido Yáñez durante el evento. Para Ecija, es esencial que las empresas exijan medidas de seguridad específicas a sus cadenas de suministro a través de auditorías y cuestionarios. “El 80% de las brechas respeto a privacidad podrían haber sido evitadas con medidas de seguridad”, ha señalado Yáñez.
En cuanto a ciberseguridad, todas las compañías que cuentan con más de 50 trabajadores en sectores clave como la energía, las infraestructuras de transporte, la banca o el sector sanitario tienen que cumplir con la directiva NIS2, la legislación actualizada sobre ciberseguridad en la Unión Europea, que incluye sanciones administrativas de hasta 10 millones de euros o el 2% del negocio total anual global para las entidades esenciales.
Para Jesús Rubí, encargado de la protección de datos de Ecija, las empresas tienen que tomar en cuenta también que el RGPD ha introducido recientemente el concepto de responsabilidad proactiva por parte de las firmas y administraciones. Para garantizar el cumplimiento normativo, las compañías no solo tienen que adoptar medidas antes de iniciar los tratamientos de datos personales, sino también durante su desarrollo y ejecución.
Herramientas para las empresas
Sin embargo, como antiguo adjunto a la dirección de la Agencia Española de Protección de Datos, Rubí ha destacado que dicha organización gubernamental propone un “abanico de medidas correctivas muy amplio”. Se han multiplicado las “guías y herramientas” para ayudar a las firmas. Por ejemplo, la AEPD ofrece recursos como Códigos de Conducta para facilitar la adopción de garantías suficientes o Comunica-Brecha para asistir a las empresas a la hora de comunicar una brecha de seguridad a las personas afectadas.
Sin embargo, Rubí ha señalado que “es esencial contar con una coordinación interna fluida y sistemática sobre protección de datos en las compañías”. En la misma línea, la mánager del área de secretario y gobernanza de Ecija, Marina Torres, ha insistido en la necesaria formación y actualización continua de las empresas para cumplir con todas las normativas.