Echamos la vista hacia atrás y estos cuatro años han pasado muy rápido. Tan rápido que incluso parece que en algunos aspectos el Reglamento Europeo de Protección de Datos (RGPD ya necesita una modificación. Esto, o un reglamento de desarrollo que lo complete para tratar de regular la implicación de la privacidad en el uso de tecnología de Inteligencia Artificial (IA), regular uso de datos biométricos de dispositivos “weareables”, la privacidad en el metaverso, los NFT’s, privacidad y tecnología Blockchain, etc.
Los datos siguen siendo uno de los activos más importantes en cualquier negocio y la tecnología evoluciona a un rimo alto y las normativas actuales quedan desfasadas en pocos años de su entrada en vigor.
Hecha una pequeña introducción de mi parecer sobre los aspectos que se deberían de regular en la normativa de privacidad y protección de datos, del futuro, me gustaría retroceder en el tiempo y destacar los hitos más importantes del RGPD en estos cuatro años.
Hitos del Reglamento Europeo de Protección de Datos
Brechas de seguridad
Una de las grandes novedades que trajo consigo el RGPD fue la de comunicar a la Autoridad de Control, en caso de España la AEPD, por parte del Responsable del Tratamiento las Brechas de Seguridad que sufriera en sus sistemas de información. Una obligación muy acertada y del todo necesaria. Esto se debe a la gran cantidad de ciberincidentes y ciberataques al que el tejido empresarial y administraciones están expuestos hoy en día.
En cuanto a las notificaciones de brechas de datos personales realizadas ante la AEPD, se han recibido y analizado 1.647 notificaciones en 2021. De estas, poco más del 4% (76) se han remitido a la Subdirección de Inspección por requerir de una investigación en profundidad. Las brechas de datos personales más frecuentes son las causadas por ciberincidentes de origen externo/malintencionado y, dentro de este tipo de incidentes, el ransomware es el más repetido. En paralelo, siguen en aumento los casos en los que el cifrado de los datos y/o los sistemas van precedidos de una filtración de información y su puesta a la venta en internet/darkweb.
Regulación del tratamiento de datos
Otro punto a destacar es la regulación del tratamiento de datos por parte de los Encargados de Tratamiento, y es que a día de hoy termina el plazo dado por la Disposición transitoria quinta de la LOPDGDD. Esta establecía que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos. En caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Por lo tanto, a partir de esta fecha, cualquier contrato de Encargado de Tratamiento con referencias a la derogada normativa 15/1999, dejan de ser válidos. Con lo que se asumiría el riesgo de incumplimiento de la obligación de regular el acceso a datos mediante contrato previsto en el artículo 28 del RGPD.
Decir también en este punto, que una de las asignaturas pendientes, de la mayoría de Responsables de Tratamiento, esta siendo el ser garantes y evidenciar, el adecuado nivel de cumplimiento de los Encargados de Tratamiento. La evaluación de terceros respecto al cumplimiento del RGPD y medidas de seguridad, es algo que se debería potenciar por parte de la AEPD. Quizás ayudaría la creación definitiva de sellos de certificación o cumplimiento del RGPD, tal y como se preveía en el artículo 40 y 42 del mismo texto legal.
Sanciones
Por último, no podemos dejar de lado, la importancia de las sanciones. Durante estos cuatro años de su entrada en vigor, España es una de las Autoridades de Control que más sanciones ha impuesto por incumplimiento del RGPD.
En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a:
- servicios de internet (16%)
- videovigilancia (12%)
- recepción de publicidad (excepto spam) (11%)
- inserción indebida en ficheros de morosidad (9%).
También, en cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son:
- videovigilancia (25%)
- servicios de internet (22%)
- publicidad a través de correo electrónico o teléfono móvil (9%)
Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido:
- la publicidad (8.659.200 euros)
- telecomunicaciones (6.500.000 euros)
- entidades financieras/ acreedoras (6.243.000 euros)
- ficheros de morosidad (4.209.000 euros)
- contratación fraudulenta (3.674.000 euros)
- asuntos laborales (2.625.900 euros)
Por tanto, estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros.
Delegado de Protección de Datos
No podemos cerrar este breve resumen sin destacar la consolidación del rol del Delegado de Protección de Datos. En estos cuatro años, son muchas las empresas que han designado en sus entidades, ya sea de forma obligatoria o de forma voluntaria, una persona, o una empresa externa que ejerza las funciones que la normativa les encomienda. En lo relativo a las cifras de delegados de protección de datos (DPD) notificados ante la AEPD, 2021 se cerró con un total de 82.249 DPD.
Conclusión: cuatro años del Reglamento Europeo de Protección de Datos
Tras cuatro años de RGPD, son muchas las empresas que se han adecuado a esta normativa, y no solo a nivel cumplimiento, sino que también han empezado a interiorizar y aplicar procedimientos de privacidad en su día a día, ubicando la protección de datos entre uno de los aspectos a tener más en cuenta dentro del desarrollo de su negocio. Esto en parte se debe a la gran cantidad de consultores de protección de datos y sobre todo Delegados de Protección de Datos, que han ido concienciando y sembrando la semilla de la privacidad en cada uno de los proyectos y servicios en los que han podido participar, contribuyendo de manera activa al respeto por la privacidad, y los derechos y libertades de todos los interesados en materia de protección de datos.
Desde SOTHIS seguimos asesorando a numerosas empresas, asociaciones y administraciones públicas en el cumplimiento de la normativa de protección de datos, con un equipo experimentado y en continua formación.
