(Cinco Días, 11-11-2024) | Mercantil, civil y administrativo
Las empresas en España cada vez están más conscientes de la relevancia de cumplir con las normativas de protección de datos. Casos como el de Santander, que sufrió una filtración de información personal de sus clientes, o el de Telefónica, que investigó una brecha de seguridad en mayo, han impulsado tanto a grandes corporaciones como a pymes a adecuar sus sistemas de privacidad a la legislación vigente para evitar sanciones. En este contexto, el despacho de abogados Écija, especializado en protección de datos, recomienda una mayor coordinación en las empresas y subraya la importancia de capacitar a los equipos para actualizar constantemente sus sistemas de privacidad y adaptarse a normativas cada vez más exigentes.
En 2023, la Agencia Española de Protección de Datos (AEPD) ha impuesto 357 sanciones a empresas, que suman más de 16 millones de euros por infracciones relacionadas con la privacidad. Una de las principales dificultades que enfrentan las empresas en materia de protección de datos es la "falta de personal especializado", según afirma el despacho de abogados. Para Daniel López, socio de Écija, aunque cada vez más corporaciones cuentan con un delegado de Protección de Datos (DPO, por sus siglas en inglés), las exigencias hacia esta figura aumentan constantemente.
A nivel europeo, el Reglamento General de Protección de Datos (RGPD) define funciones básicas para el DPO, como informar y asesorar a los empleados sobre sus responsabilidades en temas de privacidad. Sin embargo, la ley nacional (LOPDGDD) añade tareas como emitir recomendaciones, documentar vulneraciones relevantes o comunicar a los afectados las decisiones del responsable del tratamiento (artículo 36). Según López, el DPO "no puede encargarse de todo; es necesario redistribuir funciones con otras áreas".
El auge de la Inteligencia Artificial también añade desafíos a las empresas en términos de cumplimiento de las leyes de protección de datos. Aunque la IA facilita la recolección de datos personales, plantea nuevos retos para el cumplimiento normativo. Para María González, socia de Écija, es clave que las empresas "solo recojan información necesaria y relevante sobre el cliente" y "verifiquen siempre la procedencia de los datos obtenidos por IA". Las empresas deben saber evaluar los riesgos de aplicar IA a nivel interno e informar a los clientes sobre el propósito de recopilar datos. "Cualquier tratamiento de datos puede ser crítico", subrayó González en un evento reciente con más de 90 representantes de firmas como BBVA, Iberdrola, Michelin, Prisa e Inditex.
Jesús Yáñez, socio de ciberseguridad de Écija, destacó que el sector financiero es uno de los más afectados por las normativas de protección de datos. Además del reglamento europeo DORA, que establece requisitos de seguridad en redes, los bancos deben cumplir con la normativa PS2, que regula los servicios de pago. "La normativa exige ser diligente", comentó Yáñez en el evento. Écija considera esencial que las empresas exijan medidas de seguridad específicas a sus proveedores mediante auditorías y cuestionarios. Según Yáñez, "el 80% de las brechas en privacidad podrían haberse evitado con medidas de seguridad adecuadas".
En cuanto a ciberseguridad, todas las empresas con más de 50 empleados en sectores clave como energía, transporte, banca o sanidad deben cumplir con la directiva NIS2, la normativa europea actualizada sobre ciberseguridad, que incluye sanciones de hasta 10 millones de euros o el 2% del volumen de negocio anual global para entidades esenciales.
Jesús Rubí, encargado de protección de datos en Écija, subrayó que el RGPD ha introducido recientemente el concepto de responsabilidad proactiva para empresas y administraciones. Para asegurar el cumplimiento normativo, las empresas deben adoptar medidas tanto antes de iniciar el tratamiento de datos personales como durante su desarrollo y ejecución.
Rubí, quien fue subdirector de la Agencia Española de Protección de Datos, destacó que esta institución gubernamental ha ampliado sus "medidas correctivas". Han aumentado las "guías y herramientas" para ayudar a las empresas, como los Códigos de Conducta para fomentar buenas prácticas o Comunica-Brecha para asistir en la notificación de brechas de seguridad a las personas afectadas.
Finalmente, Rubí enfatizó la importancia de una coordinación interna eficiente y constante sobre protección de datos en las empresas. Marina Torres, mánager de secretario y gobernanza en Écija, reforzó la necesidad de formación y actualización continua para cumplir con todas las normativas.