Auditoría & Co

Se cumple ahora el segundo aniversario de la fecha de aplicación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), una normativa europea que trajo consigo una nueva forma de concebir la protección de los datos personales. Hasta entonces, las compañías se habían limitado a cumplir una serie de legislaciones específicas que regulaban el tratamiento de ese tipo de datos dentro de su actividad de negocio. Sin embargo, el GDPR exige a las empresas ir más allá del mero cumplimiento, desarrollando una auténtica estrategia de gestión de riesgos relacionados con la protección de datos. Apelando a su responsabilidad proactiva, este reglamento establece que las compañías deben prever los riesgos asociados a los datos personales que gestionan, evaluarlos y prevenirlos.

En estos dos años, las empresas españolas han ido adaptándose a la normativa, aunque queda camino por recorrer. Muchas compañías comenzaron a diseñar sus estrategias sólo desde el momento en que el GDPR comenzó a ser de aplicación, cuando habría sido conveniente haberlas tenido ya preparadas para empezar a aplicarlas a partir de esa fecha. Hoy en día continúa siendo necesario progresar en la adaptación.

“No ha calado suficientemente el mensaje de la responsabilidad proactiva. Las empresas podrían mejorar en aspectos como el desarrollo de auditorías externas sobre la protección de los datos personales que gestionan o el diseño de sus productos y servicios atendiendo a criterios de privacidad desde el origen”, señala Bartolomé Martín, director responsable de Derecho de las Nuevas Tecnologías y de Propiedad Intelectual de KPMG Abogados.

En otros países europeos, las negligencias en la protección de datos personales de clientes o la incorrecta gestión de estos han motivado multas multimillonarias para empresas de sectores tan diferentes como el transporte aéreo, la hostelería, las telecomunicaciones o la gestión inmobiliaria desde que el GDPR entró en vigor. En España, la agencia reguladora, la Agencia Española de Protección de Datos (AEPD), ha sido más moderada a la hora de aplicar su capacidad sancionadora, aunque también ha habido penalizaciones. “Las sanciones han venido motivadas por que las empresas no han aplicado los criterios de protección de datos personales con la suficiente diligencia o por que no han sabido justificar o delimitar la finalidad del tratamiento de los datos”, explica Javier Aznar, director de Technology Risk y responsable de los servicios de privacidad de KPMG Asesores de KPMG en España.

Solo en 2019, la AEDP publicó 76 guías para facilitar a empresas a ciudadanos el cumplimiento del GDPR, que se suman a las lanzadas por las agencias nacionales de otros países, así como a las realizadas por el Consejo Europeo de protección de datos. Por tanto, el margen de interpretación de la normativa es cada vez más limitado. “La agencia ha sido muy flexible en esta etapa de transición, pero las empresas tienen que ser conscientes de que dos años después de la fecha de aplicación del RGPD, su posición va a ser más estricta”, señala Martín.

El impacto del COVID-19

En ese proceso de adecuación progresiva al GDPR, las empresas se han visto sacudidas por el COVID-19, que trae consigo nuevos riesgos y oportunidades en la gestión protección de datos personales.

Desde que la enfermedad se convirtió en pandemia, algunos gobiernos han llevado a cabo estudios de movilidad de los ciudadanos basados en la geolocalización de sus terminales móviles, se ha puesto en marcha el desarrollo de aplicaciones que a través de Bluetooth permitirían identificar a las personas con las que había estado en contacto un enfermo y algunas empresas han adoptado medidas para limitar la propagación del virus entre sus empleados como la realización de tests o la medición de la temperatura corporal. Estas decisiones han levantado las suspicacias de algunos ciudadanos.

Para Javier Aznar, los pilares sobre los que se deben desarrollar este tipo de proyectos son la transparencia y la proporcionalidad. “Saber qué datos se van a analizar, los motivos por los que se analizan, el tratamiento que se les va a aplicar o las personas que van a tener acceso a esa información promueve que los ciudadanos estén más dispuestos a compartir sus datos, especialmente si sienten que con ello se va a lograr un beneficio del que van a ser partícipes. Además, cuanto más anónimos sean esos datos, más confianza generarán en aquellas personas que los comparten”, explica.

Bartolomé Martín hace también hincapié en la legitimidad. “Existe cierta desorientación en lo que respecta al COVID-19 que la AEPD no ha aclarado completamente hasta el momento. Hay dudas sobre qué tratamientos de datos son legítimos y cuáles no. Es muy importante determinar cómo habré de tratar los datos personales, pero, antes de eso, es preciso confirmar la base legitimadora del tratamiento que voy a realizar”, señala.

El impacto de la pandemia en la protección de datos va más allá de la información relacionada estrictamente con la salud. Las empresas que se han visto más golpeadas por esta crisis son aquellas que desarrollan actividades que requieren de un mayor contacto físico con sus clientes. Estas compañías están apostando por acelerar sus procesos de digitalización con el fin de adaptar sus servicios y productos al nuevo escenario que se abre tras la pandemia.

Javier Aznar destaca que el nuevo escenario va a traer consigo nuevos modelos disruptivos e innovadores que van a multiplicar los datos que se comparten. “Pensemos en las empresas de retail, que, por motivos de salud, van a desarrollar soluciones basadas en realidad aumentada para limitar el contacto del cliente con el producto. Los usuarios van a compartir sus datos para poder disfrutar de esa experiencia. Hay que garantizar que lo van a hacer de una forma informada, con claras de garantías de privacidad y protección”, explica.

Los riesgos y oportunidades ya estaban ahí

La pandemia ha puesto el foco sobre riesgos a los que ya debía responder la estrategia de protección de datos de las empresas, derivados principalmente de la progresiva digitalización de la sociedad y que se verán incrementados con la aplicación de la tecnología 5G, que posibilitará la generalización de productos y servicios basados en el llamado Internet de las Cosas (IoT).

La AEPD ha alertado recientemente de algunos de los riesgos vinculados al 5G, entre los que figuran el aumento de las amenazas a la privacidad, al incrementarse los servicios, la conectividad, la interoperabilidad y los puntos de entrada y gestión a la red; vulnerabilidades y problemas de privacidad heredados de sistemas anteriores; y la pérdida de control por parte de los usuarios sobre sus flujos de datos, con posibles implicaciones transfronterizas, así como en el ejercicio de sus derechos. La agencia aconseja a las empresas que consideren estos riesgos desde el diseño de los tratamientos de datos, con el fin de que sus productos y servicios cumplan con lo establecido en el GDPR.

Esa postura la comparte Bartolomé Martín. “Es crucial que las empresas conciban la privacidad como algo esencial en su actividad. Todos los procesos de transformación digital deben tener en cuenta la protección de la privacidad desde su diseño para que sean viables. No es recomendable empezar fijando un objetivo para después analizar el marco regulatorio. Lo más aconsejable es analizar primero el marco normativo para saber hasta dónde puedo llegar y qué puedo hacer, porque quizá mi primera idea dejará de ser rentable o resultará imposible de monetizar”, expone Martín.

La AEPD también aconseja que las empresas lleven a cabo estudios de impacto y auditorías externas. “La auditoría de todos los procesos implicados en el tratamientos de datos estimula la responsabilidad proactiva de las empresas, que es la base del GDPR. Las empresas están demandando en los últimos meses contar con una opinión experta externa sobre su grado de cumplimiento del reglamento”, destaca Javier Aznar.

El escenario de servicios y productos que abre la tecnología 5G ofrece la oportunidad de desarrollar esquemas de certificación previstos en el GDPR, algo que aún no ha ocurrido al nivel que sería deseable. “Las certificaciones darían a los usuarios la seguridad de que los productos o servicios que adquieren cumplen desde su origen con los criterios de privacidad que establece el reglamento, generando un clima de mayor confianza”, apunta Bartolomé Martín.

Este tipo de certificaciones, además, reduciría la vulnerabilidad de los países europeos en el despliegue de la tecnología 5G, derivada de su dependencia tecnológica con respecto a Asia o Estados Unidos. “En Europa no producimos hardware. Los dispositivos vienen de otros mercados. Si vamos a dotarnos de una red 5G, debería ser bajo unos parámetros exigentes de seguridad. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha establecido estándares de ciberseguridad a los que deberán ajustarse todos los productos utilizados en comunicaciones. Sería conveniente hacer lo mismo con la privacidad”, aconseja Javier Aznar.

Pero en el escenario 5G no todo son riesgos. El nuevo contexto permitirá a las empresas optimizar al máximo el rendimiento de los datos, siguiendo criterios de transparencia y proporcionalidad. Aznar señala que en un mundo que va a estar hiperconectado la información va a fluir y que las empresas deben tomar ya conciencia de que esa información deben destinarla a mejorar los productos y servicios que ofrecen a sus usuarios. “Si el cliente percibe proporcionalidad entre los datos que facilita y la calidad de su experiencia de usuario, los niveles de fidelización serán mayores”, apostilla Aznar.

En sus dos años de vida útil, el GDPR ha demostrado su capacidad para dar respuesta a los retos relacionados con la privacidad y la protección de los datos. Progresivamente las empresas van tomando conciencia de la importancia de adaptarse a la norma y de incorporar una visión de gestión de riesgos en sus políticas de protección de datos. Los retos y oportunidades que trae consigo la tecnología 5G podría acelerar este proceso.