La integración del sistema de cumplimiento de la normativa de Protección de Datos en los sistemas globales de Compliance fue el tema central de la segunda sesión del Compliance Forum, el evento para profesionales expertos del cumplimiento normativo que organiza la Fundación Wolters Kluwer, en colaboración con Cumplen.
Compliance Forum cuenta con el patrocinio de Faura-Casas, firma líder en servicios de auditoría y consultoría con más de veinticinco años de experiencia; Audalia Nexia Tax & Legal, asesoramiento jurídico en todas las áreas del Derecho de la empresa y de los negocios con un marcado enfoque sectorial y Entelgy Innotec Security, especialista en proporcionar las soluciones y la inteligencia necesaria para prevenir y proteger los negocios de los ciberataques y brechas de seguridad. Así como con la colaboración de Ecix Group, expertos en gestión de riesgos jurídicos y empresariales.
En esta segunda jornada, intervinieron Esmeralda Saracíbar Serradilla, Abogada Socia - Governance, Risk & Compliance en Ecix GRoup; Ricard Martínez Martínez, Director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia; Elena Bernal Santamaría, Data Protection and Privacy Officer en Bankia; y Berta Balanzategui Vidal, Senior European Privacy & Data Protection Counsel.
En su presentación Cristina Sancho, presidenta de la Fundación Wolters Kluwer, puso de manifiesto la importancia y la actualidad de la protección de datos, haciendo referencia a la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a Vodafone por más de 8 millones de euros por incumplir la Ley Orgánica de Protección de Datos Personales (LOGPD) al haber utilizado bases de datos personales para distintas acciones comerciales. En este sentido insistió en que este tipo de sanciones por vulneración de la normativa de protección de datos no sólo impacta en la cuenta de resultados, sino que también supone un grave daño reputacional para la compañía.
También Carlos Alberto Saiz Peña, moderador de la sesión, quiso recordar que la normativa de protección de datos es un elemento transversal que desde hace años entronca con la función de cumplimiento, y que la ‘fiebre’ de la transformación digital que estamos viviendo implica que esté de plena actualidad. «Todos los días hay temas de privacidad en los medios como el ciberataque al SEPE, la multa a Vodafone o los problemas de privacidad del pasaporte covid» subrayó.
Los retos en el cumplimiento de la normativa de protección de datos en el entorno Covid
Tras esta introducción Carlos Saiz pidió a los ponentes que expusieran los principales retos que la pandemia ha provocado en cumplimiento de la normativa de privacidad en el entorno Covid. Para Berta Balanzategui, la pandemia ha supuesto un choque con la realidad más extrema y calificó de curioso ver cómo han reaccionado las agencias europeas de protección de datos, lamentando lo difícil que resulta conciliar visiones tan diferentes. Por su parte, Ricard Martínez señaló la necesidad de la reingeniería de procesos en las compañías en relación con cuatro grandes retos que afrontar con la pandemia:
1. La transición al teletrabajo.
2. Como dimensionar la seguridad en ese entorno
3. La prevención de riesgos laborales ante la situación de alta indefinición.
4. Los controles de aforo: las metodologías de control de aforo que cumplan con la privacidad.
Según Esmeralda Saracíbar, el tema estrella de asesoramiento en el 2020 ha sido el cumplimiento de la normativa de protección de datos, «la pandemia era un riesgo remoto en los mapas de riesgos de las compañías». En cuanto a la evolución en la demanda de asesoramiento en cumplimento de la normativa de protección de datos, la abogada explicó que antes del estado de alarma (en los meses de febrero y marzo) los clientes consultaban si era adecuado preguntar a sus empleados si habían viajado a China, después llegaron consultas sobre el control de temperatura o el manejo de información sobre los trabajadores que se habían contagiado sobre todo por parte de las empresas sin posibilidad de teletrabajo. Cuando se fue recuperando un ritmo más normal de trabajo, las compañías querían asesoramiento sobre pruebas PCR, serológicas, diseño de apps para el rastreo o la puesta en marcha de pasaportes de inmunidad. «Un 70% de nuestro tiempo estuvo relacionado con consultas relacionadas con la Covid» confiesa.
Por su parte, desde su experiencia Elena Bernal Santamaría insistió en que en estos meses en Bankia ha sido fundamental la adaptación y la flexibilidad. «Hemos pasado por distintas fases y hemos tenido que replantear evaluaciones de riesgo, combinar la extensión del teletrabajo para una gran parte de los empleados con otros que seguían trabajando en el centro de trabajo, reforzar temas seguridad y salud, y todo ello unido a cambios de criterios y regulaciones» relató la DPO de Bankia.
En cuanto al nivel de concienciación en España en cuanto a cumplimiento del Reglamento General de Protección de Datos (RGPD), Berta Balanzategui, reconoció que es similar al de los demás países en los pilares, «todos los países tienen conciencia de los conceptos clave, pero hay diferencias en cuanto a la operacionalización, a su implementación». En los primeros meses de aplicación del RGPD mayo 2018, señaló Berta, muchos países dieron un impulso local para hacer su propia implementación del RGPD, pero advirtió que dado su carácter trasnacional y de aplicación extraterritorial «sería preferible que hubiera procesos estandarizados y asegurar de que llegan a nivel local».
La tendencia sancionadora de la AEPD
Ante las recientes sanciones millonarias impuestas por la AEPD a BBVA, Caixabank y ahora Vodafone, Ricard Martínez valoró que la AEPD, que históricamente es la agencia que más sanciones ha impuesto año tras año, en los últimos meses está contenida, y aclaró que lo que se ha producido es un cambio cultural significativo. «Antes con un régimen sancionador de hasta 600 mil euros, las compañías tenían la impresión de que podían incorporar a sus gastos el importe de esas multas por vulneración de la normativa de protección de datos. Sin embargo, el nuevo régimen sancionador con multas millonarias convierte en no rentable este tipo de incumplimientos» señaló.
Algo, en lo que coincidió Elena Bernal que precisó que, aunque la AEPD dio un periodo de carencia para que las empresas se adaptaran, éste ya ha acabado. «Debemos ser conscientes de que determinadas actuaciones no son tan baratas como eran antes» apuntó.
Elena Bernal: «Debemos ser conscientes de que determinadas actuaciones no son tan baratas como eran antes»
En datos, como expuso Esmeralda Saracíbar, desde la aplicación del RGPD la AEPD se ha caracterizado por imponer muchas sanciones, pero de cuantía más comedida respecto a las autoridades de otros países europeos. En total, la AEPD ha impuesto más de 150 sanciones, pero excluyendo las que han recaído en BBVA, Caixabank y Vodafone, la cuantía media estaba entre 40 mil y 50 mil euros. Sin embargo, en lo que llevamos de 2021 la media de importe de las multas va por 1,5 millones de euros. Por su parte, Alemania había impuesto 6 sanciones con un importe medio de 2 millones de euros o Reino Unido 4 con una media de 10 millones de euros. Todo esto revela que los criterios a nivel de aplicación de sanciones entre las autoridades europeas son bastante dispares, y por ello «sería deseable una homogeneización en cuanto a sanciones a nivel europeo». En este sentido, Berta Balanzategui comentó que la pregunta que más frecuentemente le plantean es «¿cuánto me cuesta esto si me multan?».
La protección de datos y la implantación de tecnologías basadas en datos
En este momento en el que el teletrabajo, el big data, la inteligencia artificial o el cloud están tan presentes cabe preguntarse si estamos preparados para implantar estas tecnologías cumpliendo con la protección de datos. Una cuestión a la que Ricard Martínez contestó con rotundidad que no. Además, señaló que hay dos importantes desequilibrios que corregir, por un lado, la asimetría público-privada, que se traduce en que la cultura interna de cumplimiento normativo está poco implantada en determinadas administraciones sobre todo en las más pequeñas. Y por otro, dentro del sector privado, entre las compañías muy asentadas que vienen desarrollando programas de compliance desde hace mucho y las pymes en las que el modelo de cumplimiento que desarrollan es muy superficial. «Si en el ADN de las organizaciones no está integrar al oficial de cumplimiento en el diseño inicial de los procesos es evidente que nos queda mucho camino por recorrer» concluyó
Ricard Martínez: «Si en el ADN de las organizaciones no está integrar al oficial de cumplimiento en el diseño inicial de los procesos es evidente que nos queda mucho camino por recorrer»
Los profesionales: el DPO y el Compliance officer
También hubo espacio durante el encuentro para debatir sobre si el delegado de protección de datos (DPO en sus siglas en inglés) y el compliance officer pueden ser la misma persona, si pueden estar en el mismo departamento o si existen incompatibilidades.
En Bankia, tal y como explicó Elena Bernal, se apuesta por un modelo en el que el DPO está integrado en el modelo de compliance de la entidad, entendiendo que la normativa de protección de datos es una normativa más dentro de su modelo de valoración de riesgos. En su opinión, la compatibilidad entre ambas figuras depende de la madurez del sistema de compliance y del sistema de gobernanza, en definitiva, de una buena acoountability. «No la habrá si se dan estas circunstancias» sentenció.
Auditorías de protección de datos
En España el 84% de las compañías han pasado una auditoria del RGPD. De hecho, algunos de ellas ya han pasado incluso una segunda auditoría, recalcó Esmeralda Saracíbar, que también enumeró los aspectos más frecuentes en los que las empresas tienen que madurar en el ámbito de la privacidad, detectados a partir de estas auditorías:
— La regularización de las transferencias internacionales de datos: se ha disparado el riesgo de cumplimiento en este dominio.
— La gestión de riesgos de tercero en alguno de los estadios del procedimiento sobre todo en la fase de homologación del proveedor o del encargado de tratamiento de datos y en controles de las cláusulas contractuales.
— El cumplimiento del plazo de conservación de datos: conseguir que cada área haga la eliminación de datos cuando venza dicho plazo.
Consejos para los delegados de protección de datos
Elena Bernal: «Tenemos que seguir incidiendo en nuestra independencia, debemos tener medios y empoderamiento en la empresa para enfrentarnos a retos externos como la presión regulatoria y supervisora, y a aspectos como el teletrabajo o las nuevas tecnologías que no nos lo van a poner fácil. Hay que hacer una permanente revisión de los procesos, conocer bien la compañía y mantener una visión amplia»
Ricard Martínez: «La clave es la capilaridad, conseguir que el DPO llegue a todos los trabajadores, a todo aquél que tiene acceso y maneja datos dentro de la organización, y además necesitamos técnicos formados para traducir lo que dice el DPO».
Berta Balanzategui: «En cuanto a las transferencias internacionales de datos a Estados Unidos no es suficiente firmar unas cláusulas tipo, hay que establecer garantías adicionales, para lo que es necesario realizar una evaluación de impacto de las transferencias de datos y debe primar la responsabilidad proactiva y la proporcionalidad. Contar con normas corporativas vinculantes (BCR por sus siglas en inglés) ayuda aunque aun así sigue siendo muy difícil materializar el riesgo en cada caso».
Esmeralda Saracíbar: «La certificación ISO 27701 es una buena forma de demostrar el compromiso por parte de la organización, aunque no exime de responsabilidad, sí puede ser una forma de atenuarla. Las organizaciones deberían plantearse si les compensa y les conviene obtenerla».
