VALÈNCIA. Son muchas las empresas a las que les asusta el nuevo reglamento europeo de protección de datos, pero en la flexibilidad que permite está la clave de su aplicación. Así se destacó en el desayuno ‘Protección de datos y ciberseguridad’, organizado por Valencia Plaza y Zertium en el Hotel Valencia Palace este lunes. Al encuentro asistieron Antonio Pastor, gestor administrativo de Grupo Gestoría Pastor, Sebastien Borreani, cofundador de Entrenarme, Jose Amiguet, secretario de la universidad Cardenal Herrera-CEU, Javier Gómez-Ferrer, delegado provincial de Asisa Valencia y Virginia Aloy, auditora interna compliance officer en Libertas 7.
También estuvieron presentes Álvaro Gómez Trenor, consejero de Coca Cola Iberian Partners, David Comellas, delegado de protección de datos Mutua Universal, Marc Rosell, gerente de la empresa GS Local, Rafael Real, director general de Tractio Risk, Francisco Guiral, secretario del Consejo Sek International Schools, Javier Viciano, socio director de Zertium, Enrique Fontes, miembro de Zertium y Responsable de Protección de Datos e Ignacio Baixauli, socio director Zertium.
Los datos, "el petróleo del siglo XXI"
Javier Viciano, director de Zertium, recordó que la protección de datos es un derecho fundamental de los ciudadanos europeos. "La carta de derechos del año 2000 reconoce la protección de los datos personales. Se ha dicho que los datos son el petróleo del siglo XXI y los ciudadanos no saben lo que implica esto. En el entorno digital nos hemos acostumbrado a aceptar su cesión sin ver las consecuencias", alertaba.
Los datos se han convertido en un elemento de alto valor para las empresa, pero la asimetría de la información con el ciudadano es grande. "Desde el punto de vista jurídico lo enmarcamos dentro de una relación contractual, pero se han cargado las reglas de los contratos tradicionales, donde tú tenías consciencia de los valores que se transmitían. Aquí la gente no la tiene", lamentaba.
Con este escenario, la Unión Europea actualizó la norma que lo regulaba, pasando de una directiva -que debe incorporarse a la legislación de los Estados- a un reglamento -que es de eficacia directa-. "Tras la entrada en vigor a finales de mayo ahora tenemos un cuerpo normativo para toda Europa que se aplica en todos sus efectos y es invocable por los ciudadanos europeos", explicaba. Con esta norma el régimen jurídico es unitario y debe cumplirse aunque no se regule desde la parte nacional, que sí puede legislar de forma complementaria.
La necesidad de soluciones a medida
Antonio Pastor, gestor administrativo de Grupo Gestoría Pastor, apuntaba a su preocupación por las pymes y la carga que supone para éstas el cumplir el reglamento. "Algunas de ellas manejan datos de alto nivel y la aplicación del reglamento supone un coste adicional a sus gastos, que escapan un poco a la economía de todas estas empresas", reflexionaba. "Habrá una gran cantidad de empresas pymes que no podrán hacerlo porque no pueden afrontarlo económicamente".
Frente a esta situación, gran parte de los profesionales presentes reconocían la necesidad de soluciones individualizadas para poder afrontar el nuevo reglamento. "Lo importante es tener en cuenta que con la antigua normativa era para todos iguales mientras ahora tienes que hacer un análisis de riesgos individual y es posible que solo tengas que aplicar dos o tres medidas frente a las 30 estandarizadas de la anterior ley", señalaba Enrique Fontes, miembro de Zertium y Responsable de Protección de Datos.
David Comellas, delegado de protección de datos de Mutua Universal, también insistió en la necesidad de ponderar, de saber qué datos tienes, de qué vas a hacer con ellos y en base a esa cuestión aplicar medidas. "Se trata de hacer una inversión inicial para adoptar estas medidas, ajustada a los tipos de datos que manejes", apuntaba Comelles. "El reglamento propone que nos autoevaluemos en protección, pero que lo hagamos de forma continua, cada vez que introducimos una nueva tecnología", destacaba Fontes.
Mientras, Sebastien Borreani, cofundador de Entrenarme, opinaba que estas leyes solo piensan en empresas como Facebook y otras grandes tecnológicas, pero no en el resto. "Creemos que es bueno el nuevo reglamento, pero no es fácil ponerlo en marcha", reconocía, e insistía en que la misma presión debía de ejercerse sobre la parte offline.
La prevención frente a la personalización
Jose Amiguet, secretario de la Universidad Cardenal Herrera-CEU, señalaba que el carácter preventivo del reglamento es novedoso, con una complejidad grande para las empresas y destacaba la importancia de los datos para ofrecer un mejor servicio a los usuarios. "Si yo conozco mejor a un cliente puedo plantearle anuncios personalizados, pero para conocerlo tiene que darte permiso. Aquí está la dualidad de la complejidad porque el usuario no es consciente cuando autoriza de la magnitud de datos que aporta", reconocía.
"La esencia del nuevo reglamento es que estamos tratando datos, pero protegiendo a personas", aseguraba Virginia Aloy, auditora interna compliance officer de Libertas 7. "Se trata de un cambio de perspectiva, por lo que cambia la gestión de la empresa en todos los sentidos", reconocía. "Me parece muy interesante que se nos exija informar cuál es la finalidad para la que vamos a utilizar los datos. Aunque antes lo hacíamos, era de manera muy farragosa".
"Con la anterior norma se nos exigía un fichero, pero ahora se trata de proactividad por parte de la emrpresa, de hacer una análisis de riesgo previo e informar, teniendo en cuenta que si se produce una brecha de seguridad estamos obligados a informar", insistía."El consentimiento de datos no es un matrimonio para toda la vida. Si ha pasado un tiempo prudencial tienes que volver a recabar el consentimiento".
¿Y las empresas no europeas?
Álvaro Gómez Trenor, consejero de Coca Cola Iberian Partners, reconocía que en la compañía tienen el compliance muy regulado. "Lo que veo es que la realidad va muy rápido mientras que detrás va el legislador intentando tapar agujeros. Cuanto más vamos a la inteligencia artificial, cuanto más nos internacionalizamos, más problemas aparecen y es muy difícil acotar esto", apuntaba.
No obstante, Fontes apuntaba que, a pesar de tratarse de una norma europea, terceros países que quieran prestar el servicio a ciudadanos europeos también deben someterse al reglamento. "Deben tener un representante dentro del territorio de la Unión Europea". Desde esta perspectiva, David Comellas, delegado de protección de datos de Mutua Universal, apuntaba a que ya hay empresas que están denegando el servicio a ciudadanos europeos porque no cumplen con el reglamento de protección de datos.
Comellas también destacaba cómo los empleados de su compañía se van concienciando acerca de la aplicación de la ley. "Si llega un currículum y dudan de la vía por la que ha llegado preguntan qué deben hacer con él", apuntaba. "Hay que tener al personal preparado en las empresas para que todo funcione sin riesgos", reconocía Javier Gómez-Ferrer, delegado provincial de Asisa Valencia.
El miedo a las multas
"Lo que nos da miedo a muchos son las multas y es lo que nos estimula a aplicar la legislación", reconocía Rafael Real, director general de Tractio Risk. "Las sanciones todavía no están detalladas y todavía tardará el parlamento un año para aprobar la norma", reconocía Fontes. "Creo que serán laxos a la hora de juzgarlo por el momento, pero aplicarán la norma de la LOPD".
No obstante, Real reconoció que hay una parte muy importante dentro de la responsabilidad de las empresas. "Aquí falta una parte de concienciación por las empresas y por los empresarios en muchos casos. Hemos tenido falta de vigilancia sobre los datos".
Francisco Guiral, secretario del Consejo Sek International Schools, apuntaba a su preocupación por hasta dónde puede llegar el Estado con las bases de datos y qué responsabilidad tienen. "Hay una laguna bastante importante en esto", lamentaba. De hecho, Fontes reconocía que las administraciones no entran en esta ley.
El reto de conseguir un sistema estandarizado
"Coincidimos en que es bueno proteger los datos y las grandes corporaciones son las que tienen que hacer las grandes inversiones. Aprovechando la implantación de los sistemas, esto plantea un reto para las pymes y al final es donde tenemos que trabajar", destacaba Ignacio Baixauli, socio director de Zertium. "Queremos trabajar en sistemas estandarizado para las pymes con el fin de que no tengan un coste elevado para ellas, y esto es un reto para los consultores", reconocía. "Nuestra función es conseguir un sistema de prevención que sirva para todo tipo de empresas".
