Hoy 25 de mayo de 2020 se cumplen dos años desde la entrada en vigor del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas (RGPD); una normativa que buscaba unificar y homogeneizar criterios en el ámbito europeo sobre el uso de datos de las persona física, y por otro lado, y lo que ha sido su gran logro, internacionalizar uno mínimos estándares legales.
Sin duda esta normativa ha sido una de las de mayor impacto en este nuevo milenio. A todos niveles ha habido una afectación legal y técnica. Pero nuestra pregunta es: ¿Se ha traducido en una mayor protección a los “ciudadanos”? ¿Se ha hecho más fácil su entendimiento y aplicación por parte de las empresas?
Ahora que ha cumplido 2 años (después de otros 2 años de presentación en sociedad y muchos otros más de gestación), tenemos varios “regalos”, y como sabemos los regalos no son siempre del gusto de todos. Aquí los tenéis:
- El Comité Europeo de Protección de Datos (CEPD) actualiza la guía sobre consentimiento de las cookies – En resumen, dice que no es válido el consentimiento obtenido mediante las «cookie walls» ni el scrolling o al desplazarse a través de la web (con matices).
- El próximo 3 de junio la Comisión Europea presentará la revisión del RGPD – En consecuencia del Art. 97.1 del RGPD que dice: “A más tardar el 25 de mayo de 2020 y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento”. En caso necesario, se harán propuestas oportunas para modificar el RGPD.
Nos guste esto o no, tenemos que ser conscientes de los beneficios que aporta hacer bien las cosas en ámbito de la ciberseguridad y, en general, en el de tratamiento de datos. El principio de proactividad ha de estar siempre presente, y aplicando por analogía algunas medidas de seguridad contempladas en la antigua Directiva de protección de datos (que han sido vista con buenos ojos y recomendadas de forma reiterada por las autoridades públicas), son aconsejables como mínimo las auditorías bienales, o en momentos de cambios organizativos o técnicos de la empresa.
El confinamiento COVID-19 coincidiendo con estos 2 años ha supuesto un cambio de la forma de trabajar, por tanto, es un momento idóneo para ser proactivos y proceder a una auditoría, revisión o análisis de cumplimiento del RGPD y otras normativas vinculadas, para conocer nuestro estado real de riesgo. Os recomendamos:
- Revisar vuestro Plan Director de Seguridad (PDS) o crear uno.
- Analizar cómo ha ido organizativa y tecnológicamente el teletrabajo desde un punto de vista legal y de ciberseguridad: Ej. ¿Tenía protocolos o cláusulas contractuales firmadas con los trabajadores, una política, un PDS o un plan de contingencias, etc.? ¿Las nuevas adaptaciones de mi negocio (firmas de contratos, contratación, etc.) están bien hechas?
- Extracción de conclusiones.
- Crear un plan de acciones de mejora.
Todo ello, si se realiza de forma sincrética, práctica y ajustada a la área que precisa de ese análisis; redundara en beneficio de la empresa y puede abrir nuevas líneas de negocio.
Carles Basteiro-Bertolí