Ley protección datos
El Gobierno regula de urgencia las sanciones sobre protección de datos tras dos meses de aplicación de la normativa europea
La fecha se conocía desde 2016, pero parece que el pasado 25 de mayo pilló a administración y empresas con el pie cambiado. En esa fecha, de la que se han cumplido dos meses esta misma semana, comenzó a aplicarse en toda la Unión Europea el nuevo Reglamento general de protección de datos (RGPD o GDPR por sus siglas en inglés). La nueva normativa busca "garantizar un nivel uniforme y elevado" de protección de los datos en suelo comunitario evitando que las empresas los vendan o existan fugas sin autorización. Se intenta con esta legislación ampliar los derechos de los 500 millones de ciudadanos europeos y adaptar el marco jurídico a los nuevos retos derivados de la "rápida evolución tecnológica y la globalización": "La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa".
Así, desde hace más de 60 días, los europeos deben dar su consentimiento expreso para que cualquier empresa, organismo o institución puedan tener y tratar sus datos. Por esta razón, en las semanas anteriores y posteriores a la fecha de aplicación los usuarios recibieron centenares de correos electrónicos para informar de estas novedades. Y, además, por eso, desde entonces, cuando se entra por primera vez en una web salta una notificación para que aceptemos su política de cookies. También se debe especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos.
Asimismo, con el RGPD se han sumados dos nuevos derechos. El del olvido, que aparece por primera vez en una ley y no sólo en sentencias judiciales permitiendo al ciudadano solicitar la supresión "sin dilación indebida" de sus datos personales cuando, por ejemplo, "ya no sean necesarios en relación con los fines para los que fueron recogidos" o hayan sido "tratados ilícitamente". Y, por otro lado, el de portabilidad de los datos que establece que tendrá derecho a recibir los datos personales que le incumban "en un formato estructurado, de uso común y lectura mecánica" y a transmitirlos de un responsable a otro sin que haya ningún tipo de impedimentos. Esto permitiría, por ejemplo, que se hiciera una portabilidad de una compañía telefónica a otra sin obstáculos, de forma ágil y sencilla. "El reglamento busca defender los derechos de la persona física. Esta se convierte en el centro. Es un cambio de enfoque radical", contesta Pilar Cousido, profesora titular de Derecho Constitucional de la Universidad Complutense de Madrid, por correo a infoLibre.
El cambio no era sencillo, ya que no sólo derogaba la antigua directiva europea sino que prevalecía sobre cualquier legislación nacional sobre protección de datos. Además, ampliaba la responsabilidad a todos aquellos de fuera de Europa cuando sus actividades de tratamiento estén relacionadas con "la oferta de bienes o servicios (…)" –independientemente de si los clientes tienen que pagar por ellos o no– o con el control del comportamiento en suelo europeo. Es decir, que gigantes del mercado de Internet estarán obligados a ajustarse al nuevo marco aunque su sede no se encuentre en el Viejo Continente. Por lo pronto, en febrero la Comisión Europea ya le dio un tirón de orejas a Facebook y Twitter (y también a Google) para que se esforzaran más para proteger a los usuarios y para que se ajustasen a la normativa comunitaria.
Conscientes de lo amplio que era el nuevo marco legal, Bruselas concedió dos años de margen para hacer una adaptación lo más fácil posible. Sin embargo, los deberes se dejaron para última hora. Ya en enero Mar España, directora de la Agencia Española de Protección de Datos (AEPD), aseguraba que "todo el mundo ha tenido dos años para prepararse. A partir del 25 de mayo, se aplicarán para bien y para mal las obligaciones y los derechos del Reglamento". Pero, mientras Alemania o Italia promulgaban una nueva legislación sobre protección de datos durante 2017, en España no fue hasta el pasado 10 de noviembre cuando el Consejo de Ministros de Mariano Rajoy aprobó el primer anteproyecto para la reforma de la Ley Orgánica de Protección de Datos (LOPD), de 1999. Tras tres meses de presentación de enmiendas, el pasado febrero se celebró la primera sesión de debate en el Congreso. Sin embargo, cinco meses después y con más de 300 enmiendas encima de la mesa, la previsión era que la tramitación parlamentaria se prolongará hasta finales de año.
Medidas urgentes
Ante esta dilación en el tiempo, el nuevo Gobierno de Sánchez aprobó este viernes un real decreto-ley con medidas urgentes para asegurarse así que la legislación europea se aplique en España. ¿Ha existido un vacío legal durante estos meses? En parte, sí.
Tal y como explica el Ministerio de Justicia en una nota, su "entrada en vigor podría dejar desprotegido el derecho fundamental de los ciudadanos a su privacidad. Por eso era imprescindible y urgente la adopción de una norma con rango de ley que permita la adaptación del derecho español al reglamento europeo en algunas cuestiones cuya regulación no está reservada a ley orgánica". Aunque hay que tener en cuenta que "nunca una ley de un país de la UE puede contravenir lo que dice el reglamento europeo. Puede completar o concretar aspectos de su propia normativa, desarrollarlo, pero nunca contradecirlo. Siempre va a primar el reglamento europeo si hay algún tipo de discrepancia", asegura Sara García, abogada de Legálitas, en conversación con infoLibre horas antes de conocerse el texto íntegro de este decreto-ley.
Esta nueva normativa, que entra en vigor este domingo y estará vigente hasta que se apruebe la nueva ley, evita que el derecho a la privacidad de los ciudadanos en España quede desprotegida. Se regulará, por tanto, aspectos relacionados con la inspección o el procedimiento de instrucción, que queda en manos de la Agencia Española de Protección de Datos.
Asimismo, incorpora las especificidades de los procedimientos transfronterizos que establece el nuevo marco europeo. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos podría situarse entre 13.000 a 16.000 al año. Sólo durante las dos primeras semanas de aplicación de la nueva normativa, según los datos de la AEDP que recoge el Ministerio de Justicia, se abrieron 17 procedimientos transnacionales referidos, sobre todo, al ejercicio del derecho al olvido, el tratamiento de datos o la política de privacidad y los términos de servicio de grandes entidades tecnológicas.
El "novedoso régimen sancionador" de Bruselas
Además, y aunque el RGPD establece un régimen sancionador aplicable, no regula cuestiones como las sanciones o los plazos de prescripción, que debe establecer la legislación de cada país. En cuanto a las multas, el decreto-ley asume el "novedoso régimen sancionador" impuesto por Europa. Es decir, mantiene el endurecimiento de las sanciones marcadas por Bruselas: multas de hasta 20 millones de euros o hasta el 4% del volumen de negocio de la compañía infractora.
En relación a los plazos de prescripción, el decreto-ley "opta" por mantener los mismos tiempos que actualmente establece la ley orgánica de protección de datos. Es decir, fija un plazo de un año para las sanciones inferiores a 40.000 euros, dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía.
¿Y durante estos últimos dos meses de aplicación del RGPD no se han estado sancionando las infracciones del nuevo reglamento? Según explica Sara García, durante estas primeras semanas "en muchos casos y aunque haya podido haber sido objeto de sanción" lo que está llevando a cabo la agencia de protección de datos es un "apercibimiento en el que dice cuál es la sanción cometida y lo que se debe corregir". Se permite así a las empresas "ir adaptándose en lo posible a todas estas novedades": "es un pequeño margen de adaptación. Es difícil, y no se va a hacer perfecto desde el primer día". Lo reconocía también la presidenta de la AEPD pocos días después de su puesta en marcha que el RGPD no es solo una norma sancionadora: también promueve la resolución amistosa y extrajudicial de los conflictos. "La misma flexibilidad que da el reglamento para adaptarse a la nueva protección de datos también se aplica a las autoridades de control en su potestad sancionadora", afirmaba Mar España.
"Por desconocimiento o por pensar que no les afectaba"
Y es que si el Gobierno no ha aprovechado sus dos años de plazo, las empresas tampoco. "Podría decirse que todo empeora para el sujeto pasivo de la norma, en el sentido de que sus obligaciones son mayores y con un respaldo legal muy serio. Me refiero a que las multas por incumplimiento pueden ser muy elevadas. Más trabajo y más inversión. Pero así debe ser en sociedades en las que la información es fuente de riqueza", reconoce Cousido.
A finales de 2017, a sólo cinco meses de su puesta marcha, una encuesta de la consultora IDC Research España revelaba que sólo el 25% de las compañías españolas decían tener planes sólidos para asegurar en tiempo y forma el cumplimiento del RGPD. La cosa no mejoró según se aproximaba la fecha. Según una encuesta de la AEPD junto a la Confederación Española de la Pequeña y Mediana Empresa (CEPYME) presentada este mes de julio pero cuyo trabajo de campo tuvo lugar durante la semana de aplicación de la legislación europea, el conocimiento sobre el nuevo reglamento entre las pymes españolas se había incrementado hasta el 69%. Pero, casi cuatro de cada diez empresas no tenían aún conocimientos sobre esta normativa a pocos días de su puesta en marcha.
"Mucha gente, aunque ha tenido dos años desde que se ha aprobó el reglamento, lo ha dejado para el último día. En ocasiones, por desconocimiento o por pensar que no les afectaba. Y, cuando fueron conscientes, todo el mundo ha querido cumplir la normativa y consultar qué es lo que tenía qué hacer y cómo les afectaba", explica Sara García. La profesora Pilar Cousido añade que la pedagogía sobre la materia ha sido "intensísima" y que "a estas alturas todo el mundo sabe algo sobre este reglamento": "Otra cosa puede ser que prefieran ignorarlo".
Así, durante los primeros días de su implementación las consultas registradas en materia de privacidad se incrementaran en un 368,61% respecto al promedio de los meses anteriores de 2018, según el Observatorio Jurídico de Legálitas. Aunque García matiza que fue "un boom" durante las fechas anteriores y posteriores al 25 de mayo, y después se han estancado. "Las dos preguntas más importantes que hacían era '¿Tengo que hacer algo? O ¿Esto me afecta a mí?' y, cuando les decimos que sí, porque en el 99,9% de los casos va a ser que sí, es '¿por dónde empiezo?'. La gente estaba muy despistada", asegura la abogada.
Así, las consultas sobre esta materia en junio supusieron un 25,22% sobre el total de las realizadas a lo largo del mes, cuando, anteriormente, este tipo de cuestiones suponían un 3,01%. "Entiendo el aumento de consultas y creo que irá in crescendo pues el reglamento es largo, denso y contempla numerosas excepciones", explica Pilar Cousido que también añade que "hay que ayudar a interpretarlo".
¿Más brechas de seguridad?
Además de consultar cuestiones técnicas, las empresas ahora están en la obligación, con la puesta en marcha del RGPD, de comunicar a las autoridades de control cualquier "violación de la seguridad de los datos personales" a más tardar "72 horas después" de que hayan tenido conocimiento de ella. Antes, sólo era necesario avisar a los operadores de comunicaciones electrónicas disponibles al público, pero ahora se extiende a todos los sectores y empresas que traten datos. Por tanto, tras más de 60 días, los incidentes de seguridad en datos personales son más sonados, pero no porque hayan aumentado en número, sino porque desde la aplicación del nuevo marco de la UE hay obligación de notificarlas si se dan ciertos requisitos.
Activistas temen que la nueva Ley de Protección de Datos obstaculice la lucha contra la corrupción
Ver más
¿Qué se entiende por brecha de seguridad? Son aquellos incidentes que causan destrucción, pérdida o alteración de los datos personales. Según explica en una nota de prensa la firma Elzaburu, especializada en propiedad industrial e intelectual y tecnologías de la información, estas violaciones de seguridad no se limitan a robos físicos de soportes o a la entrada de un hacker en el sistema, sino también al envío accidental de una lista de correos que aparece visible en el email. "La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención. Esto implica el establecimiento de todas las medidas destinadas a evitar las brechas de seguridad, la incorporación de impedimentos para la lectura y modificación no autorizados de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos", afirma el abogado Martín Bello.
Uno de los casos más recientes sobre un agujero de seguridad lo ha protagonizado Movistar: un fallo de la operadora permitió acceder a todos los datos de facturación de sus clientes. Esta vulnerabilidad la descubrió la organización por los derechos de los consumidores, Facua, que solicitó a la empresa de telefonía que informase a sus usuarios apelando al principio de transparencia recogido en esta nueva normativa.
Según recoge El Confidencial, la compañía aseguró que se tomaron las medidas correspondientes para resolver la vulnerabilidad y que "hasta el momento" no se había detectado "ningún acceso fraudulento". Finalmente, confirmó que los afectados rondaban los cien. "Movistar tiene la obligación legal de informar a sus clientes de un agujero de seguridad. Aunque hay que tener en cuenta que las normas sancionadoras no tienen efectos retroactivos", asegura la profesora Pilar Cousido.