«Desde el día 25, si se infringe la ley de datos actuaremos con todas las consecuencias»
La responsable de los datos de los españoles analiza el impacto en empresas y usuarios de la nueva normativa de protección de datos que entra en vigor el próximo viernes para marcar un antes y un después en la privacidad en la red.
— A partir del 25 de mayo van a cambiar muchos las cosas en materia de protección de datos. ¿Qué impacto cree que se va a producir?
Va a a ser importante porque va a afectar tanto a los nuevos derechos que van a tener los ciudadanos como a las nuevas obligaciones, y sobre todo el cambio de mentalidad que ello supone, para las empresas y administraciones públicas al pasar de un enfoque reactivo a uno basado en la responsabilidad proactiva, centrada en el análisis del riesgo, por un lado, y por otro en la flexibilidad.
¿Las nuevas exigencias son suficientes para adaptarse a la privacidad de los usuarios?
Sí, porque un eje clave es el análisis de riesgos vinculado a la flexibilidad y al modelo de negocio que cada empresa esté aplicando. De manera que cada análisis de riesgo y evaluación de impacto se tiene que adaptar con las consecuentes medidas técnicas organizativas y de seguridad a esa empresa en concreto. Es mucho más ajustado que el sistema actual, que escalonaba unas medidas de seguridad en función de que el riesgo fuera básico, medio o alto.
¿Va a estar la Agencia con el látigo con las empresas a partir de entonces?
Estamos haciendo una labor importante en temas de prevención y sensibilización. Y apostando por ayudar a las pymes. Yo entiendo que a una pequeña empresa con tratamiento de datos básico no debería suponerle una carga estructural adaptarse a la normativa. Con las grandes, de sectores tan estratégicos como turismo, banca, telecomunicaciones, energía, llevamos meses reuniéndonos en talleres prácticos, trabajando para poderles resolver las dudas que tengan. Estamos apoyando, pero lógicamente si desde el 25 de mayo hay una infracción de la normativa tenemos que actuar con todas las consecuencias, como hemos hecho siempre.
¿Tienen las empresas los deberes realizados?
Estamos haciendo una encuesta con los principales organismos (CEOE o Cepyme) para ver el grado de conocimiento del reglamento. Más de la mitad de las empresas sí lo conocen. Esperemos que no lo dejen para el último momento siguiendo el espíritu español.
Recientemente, Mark Zuckerberg valoraba positivamente el marco regulador europeo en materia de protección de datos. Sin embargo, ya ha empezado a mover ficha para que su adaptación sea algo menor a la prometida. ¿Cree que las empresas tecnológicas van a cumplir?
No voy a entrar a valorar si Facebook va adaptarse en espíritu o en la forma. Lo que sí puedo decir es que va a tener que cumplir con la normativa. Me alegra oír las declaraciones formales de que ponía en valor el reglamento, pero decir lo siento no es suficiente. Lo que tienen que hacer en la compañía es hacer un análisis del riesgo de sus aplica- ciones, que él mismo reconoció en declaraciones públicas, donde pueden estar sucediendo situaciones tan graves como lo que ha pasado con Cambridge Analytica y adaptar todas las medidas para que esto no se vuelva a producir.
¿En qué situación se encuentra la investigación sobre la filtración de datos de Facebook?
Estamos trabajando con los datos oficiales que han ido suministrandoistrando Face-Facebook a todos los organismosmos reguladores, pero en los siete me- ses anteriores desde la a Agencia hemos sido muy y activos en supervisar toda a su política de privacidad d de la compañía y había- mos resuelto tres expedientes sancionadores, unos de ellos, de 1,2 millones de euros que ha sido la mayor multa de la historia por la política de privacidad, otro de 600.000 euros por el intercambio de datos con WhatsApp. Hemos sido la única autoridad de la UE que les ha multado por esta infracción. De los expedientes que están en fase de investigación, lógicamente no puedo decir nada, pero sí que en el mismo día en que nos enteramos de que afectaba a usuarios españoles iniciamos las investigaciones y estamos en colaboración con la autoridad británica que es quien está liderando la investigación.
¿Teme que al final las tecnológicas se salten las leyes con triquiñuelas?
Dentro de los sectores estratégicos estamos trabajando con las empresas de telecomunicaciones de nuestro país y sí percibo una buena voluntad y actitud proactiva en adaptarse a reglamento, así como cumplir con la privacidad porque algunas de esas empresas saben que aportar un plus en el tratamiento de datos le va a colocar en un factor de competitividad por delante de las demás.
Entre las obliobligaciones de las empresassas está la desidesignación de un Delegadod de Protección de Datosto o, al menos, contratarlota externo. ¿Teme que hayah una burbuja de delegadosle y se den ciertas prácticaspr para engañar a lasla empresas?
Para dar seguridad al mercado y dentro de la neutralidad que debe tener la Agencia, y más en un momento en el que proliferan tantas consultorías, pusimos en marcha el esquema de certificación de delegados de protección de datos. Pero sí quiero alertar de determinadas consultoras que se autodenominan «a coste cero» que sí están estafando, porque utilizan fondos de la Fundación Tripartita. Y en base a que al empresario le han hecho un curso financiado por esta fundación, les dan una especie de certificado que asegura que cumplen con protección de datos, pero eso no les va a cubrir para nada y, además, están estafando fondos públicos.
Esperemos que las empresas no sigan el espíritu español de dejar las cosas para el último momento