Reglamento EuropeoMar España, directora de Protección de Datos: "Las pymes me tienen preocupada"

Nadie sabe si el 25 de mayo será el día del fin del mundo, aunque para algunos lo parezca. A partir de ese día, sí o sí, va ser de aplicación directa el temido Reglamento General de Protección de Datos (RGPD, o GDPR según sus siglas en inglés). No obstante, quienes sí que van a notar un cambio radical en su actividad son los trabajadores de la Agencia Española de Protección de Datos (AEPD). Su directora, Mar España, lo tiene claro: con una fuerza laboral de 180 personas, de los que sólo 15 son inspectores, los próximos meses van a ser “todo un reto” para la propia Agencia.

¿Quién no ha notado una creciente avalancha de correos electrónicos y mensajes de empresas y servicios que se adaptan al RGPD? No es más que el esfuerzo de las miles de empresas que, pese a haber tenido dos años para adaptarse a la nueva normativa (en vigor desde 2016, pero directamente aplicable a partir del próximo jueves), han dejado para el final el cumplimiento de nuevos y más estrictos requisitos que deben cumplir en el territorio de los 28 países en donde se aplica esta norma: más control de los datos para los ciudadanos, más transparencia en el uso de los mismos, mayores multas para quienes incumplan.

“Bueno, es que el cambio es radical”, comenta Mar España en una larga entrevista con Público. “Desde el punto de vista de las autoridades de protección de datos, de las 180 personas que trabajan en la Agencia, todo va a cambiar; calculamos que habrá entre 13.000 y 20.000 procedimientos transfronterizos al año, pero es una estimación, no sabemos realmente cuántos miles habrá”, añade.

La directora recuerda que una reclamación de un ciudadano respecto de una empresa que opere en más de un estado miembro, por ejemplo, implica que se arranque la tramitación en inglés, en un procedimiento coordinado con trámites de audiencia en las otras 27 autoridades de protección de datos, una posible resolución del comité europeo… “Vaya, es un reto importante”, apunta.

A efectos prácticos, desde el 25 de mayo “los ciudadanos van a estar mucho más protegidos, porque van a tener un control mucho mayor sobre el tratamiento de sus datos que hacen terceros, tanto públicos como privados”, señala Mar España, quien recuerda que “en España, una parte importante del tratamiento de los datos se estaba basando en el consentimiento tácito, que era legal, pero a partir de ahora ya no es posible; así, si sobre todo las empresas —las administraciones públicas suelen operar en el ejercicio de una potestad— estaban tratando sobre el consentimiento tácito, eso ya deja de ser operativo y tendrán que informar al ciudadano, al cliente, de dónde han obtenido sus datos, para qué los quieren, a quién se los van a ceder, si los van a trasferir al extranjero, durante cuánto tiempo los van a conservar, etcétera”.

Desde la AEPD insisten en que están poniendo el foco en la prevención y solución de los problemas lo más rápidamente posible. E inciden en que va a haber un catálogo de nuevos derechos muy amplio, como el derecho a la limitación del tratamiento o el derecho a la portabilidad de datos. “Yo creo que en el ámbito de las redes sociales se va a usar mucho este último”, apunta España.

"Pienso que, además, va a haber más concienciación", añade. “Con los casos que desgraciadamente estamos viendo en los medios, creo que la gente es cada vez más sensible con determinada información personal y privada que se puede estar difundiendo en las redes sociales, y con eso sí que estamos diciendo que vamos a tener tolerancia cero". "Para las empresas y administraciones públicas, entiendo que estos meses están siendo duros y seguramente los que vengan”, comenta, para añadir: ”No obstante, está muy bien que, por una vez en la vida, paremos y hagamos una reflexión de qué datos estamos tratando; y si somos una Administración pública, que nos preguntemos si tenemos la competencia para tratar esos datos o si realmente son mínimos imprescindibles para un trámite determinado".

Sobre todas estas cuestiones y las acciones que va a llevar a cabo la AEPD, da detalles a Público Mar España en esta entrevista:

El reglamento deberá aplicarse para proteger los datos de quienes pasen por Europa. ¿Tiene vocación universal el reglamento?

Sí, el reglamento se ha hecho para pervivir. Es cierto que supuso todo un récord de enmiendas durante su tramitación… Fueron más de 4.000. Las correcciones que se han hecho son simplemente lingüísticas, pero algunas muy importantes, como la rectificación del concepto 'residencia', que sugerimos desde la AEPD, precisamente. Porque claro, el concepto 'residencia' podía parecer que era un concepto legal, y esto se aplica con un plus de universalidad: el reglamento aplica de forma extraterritorial, de manera que afecta a cualquier empresa del mundo que ofrece servicios a ciudadanos que estén en Europa; tenemos la suerte de estar en el continente más protegido.

¿Les sirve de algo, entonces, a las grandes compañías de internet que traten de llevarse los datos de ciudadanos a centros de datos extracomunitarios?

Con el RGPD, desde luego, una empresa como Facebook tiene que cumplir con todo lo que exige: prevención por defecto, prevención desde el diseño… Yo he oído al presidente que igual que la aplicación ‘This is your digital life’ puede haber miles de aplicaciones alojadas en Facebook con las mismas debilidades… Pues me imagino que estarán repasando eso ya, analizando una por una todas ellas, sus posibles riesgos y el impacto en la privacidad de los más de 2.000 millones de usuarios de la red social en el mundo.

¿Cree que las grandes compañías están preparadas?

Nosotros hemos tenido reuniones con los seis sectores estratégicos que hemos identificado. Las telecos, las entidades financieras, el sector turístico, el energético (eléctricas, empresas de distribución de gas…), nos acabamos de reunir con el sector de la publicidad, y el sector de las superficie de gran consumo. Yo estoy personalmente satisfecha. Mantenemos con las grandes empresas una estrategia de acercamiento. Sí me consta que tienen un conocimiento efectivo del reglamento y, por supuesto, están ya preparándose, generalmente con medios propios. Pero evidentemente es un cambio de modelo y el reglamento tiene algún  concepto jurídico indeterminado en tratamiento de datos a gran escala, por lo que estamos aprovechando en estas reuniones para que nos puedan trasladar los posibles problemas. Por ejemplo, en el caso del sector de la publicidad, el modelo de negocio es tremendamente complejo, con diferentes capas. De esta forma, nos interesa que nos cuenten los problemas más prioritarios y urgentes para dar soluciones satisfactorias para todos. Yo sí que tengo una buena percepción del tratamiento de los datos por parte de las grandes empresas en nuestro país.

¿Cree que las pymes están preparadas?

Pues a mí las pymes me tienen preocupada. Tienen menos medios, y el 90% de nuestro tejido empresarial tiene menos de 10 empleados. Ya tienen mucha carga de trabajo simplemente con pagar a los empleados, pagar las cargas fiscales y llegar a fin de mes. Hemos creado una herramienta gratis para ofrecerla a pymes. Hemos hecho un estudio de los cinco millones de ficheros que tenemos inscritos, de los que 4,9 millones son privados. Y hemos hallado que el 70% son ficheros de tratamiento de riesgo básico, que no incluyen datos sensibles o perfilado de consumidores. Si lo extrapolamos con los 3,2 millones de empresas que incluyen a los profesionales colegiados, los autónomos y las pequeñas pymes, podemos decir que va a haber un importante porcentaje de empresas —como un comercio, un restaurante que no tenga una base de datos de salud de los clientes, un bar o un ingeniero de caminos— perfectamente podrán utilizar esta herramienta: se rellena en 15 minutos, se cumplimenta sus datos, la AEPD no va a guardar los datos de la empresa…

"A mí las pymes me tienen preocupada. Tienen menos medios, y el 90% de nuestro tejido empresarial tiene menos de 10 empleados"

Pero hay que decir también que no es un cheque en blanco, es simplemente una herramienta que le va a dar, traducidas a su negocio, las cláusulas informativas para sus clientes, empleados, etc. Ya no tienen que inscribir sus ficheros en la Agencia, se sustituye por el registro general de actividades de tratamiento y el contrato con el encargado. Y además les damos recomendaciones en materia de seguridad. Pero claro, no quiero que una empresa piense que porque ha dedicado menos de media hora a rellenar un formulario se olvide del tratamiento de los datos de aquí a 10 años. Porque de lo que se trata es de instaurar una cultura de prevención, de sensibilización para los empleados, y de cumplimiento de una serie de medidas de seguridad.

Hemos hecho convenios con CEPYME, con las cámaras de comercio, con la Asociación Española de Banca, con la CECA, con el Consejo General de Gestores… Porque toda empresa trabaja con un gestor y tiene una cuenta en un banco. Por eso, les hemos pedido ayuda para que apoyen la difusión de esa herramienta. Y en los próximos días haremos una campaña en TV.

¿Esperan que vaya a haber un incremento de fraude a raíz de todo el ruido y los temores que genera la aplicación directa del RGPD? Por ejemplo, si puede darse el surgimiento de delegados de protección de datos o de consultores con falta de preparación.

Vamos a ver, yo diferenciaría. Está claro que la especialidad de tratamiento de datos es un importante yacimiento de empleo para quien se especialice con calidad en temas de protección de datos. El reglamento sólo exige un conocimiento de derecho, no una licenciatura, y perfectamente puede especializarse un ingeniero informático o alguien que ni siquiera tenga el grado. Lo que está claro es que va a ser una profesión muy demandada en los próximos años. Conscientes de esto, y dentro de nuestra posición neutra, queremos proporcionar seguridad, por lo que somos la única autoridad en Europa que proporcionamos el esquema de certificación de delegado de protección de datos, que lo hicimos con 22 expertos. Ahora mismo hay 50 entidades privadas certificadas.

Yo aconsejo que si una empresa tiene que contratar un delegado, bien por obligación o bien porque quiera, que acuda a este esquema. Primero, porque lo avala la AEPD. Y segundo, porque demuestra una formación de al menos 180 horas o un mínimo de experiencia en el asunto de cinco años. Y además, hay que pasar un examen de 150 preguntas que custodiamos en la agencia. Ojo, la agencia no examina, tenemos un acuerdo con ENAC —que es el organismo competente en acreditaciones en nuestro país— que acredita a las entidades de certificación, y éstas a su vez forman directamente a las personas o acreditan a otras entidades de formación. Es un poco complejo, sí.

¿Existe alguna previsión de reglar esta profesión?

Hemos sugerido desde la Agencia que se exigiera una titulación universitaria, pero el problema es que no podemos ir más allá de lo que dice el RGPD, que ha sido muy flexible en los requisitos que se exigen al delegado de protección de datos. Eso no se puede reglar porque, además, de ser así se podrían vulnerar otras normativas como la que establece la libre circulación de personas en la UE.

En cuanto al fraude, y con eso vamos a tener tolerancia cero, hemos detectado que algunas empresas estaban dando una apariencia en su página web de que estaban avalados por la AEPD o por nuestro propio gabinete jurídico; también hemos detectado que se están ofreciendo a coste cero y desde hace años, pero a cargo de fondos de formación púbicos que reparte el Ministerio de Empleo, auditorías a cambio de un papel en el que se declara que ha existido formación. Eso me lo están contando algunas empresas por teléfono. Aparte de que supone un fraude en toda regla en el manejo de fondos públicos, quiero transmitir que ese empresario que como tenga un problema en materia de protección de datos, y un cliente o un empleado le denuncie, la responsabilidad es suya. Simplemente porque seguro que esa auditoría no tiene la calidad suficiente ni le cubre frente a nada. Con esos temas, la Agencia va a ser muy rigurosa.

¿Qué hacer ante la duda?

Si alguien está ofreciendo a una empresa una auditoría anual telefónica, la inscripción del fichero, etc, que desconfíe. Y animo además a que informe a la Agencia. De hecho, algunas de las enmiendas presentadas en futura nueva Ley Orgánica de Protección de Datos es una modificación de la Ley de Competencia Desleal, para que esto tenga consecuencias. Por ejemplo, simular la apariencia de la Agencia podría tener consecuencias.

¿Están notando desde la AEPD más actividad?

Sí, interna y externa. Nosotros no paramos. Es cierto que el número de denuncias y de peticiones de tutela de derechos se mantienen más o menos estables, por ahora. En la memoria de 2017 manejamos una cifra de unas 10.000 entre denuncias y tutelas. Es lógico pensar que se va a incrementar el número de denuncias, porque sencillamente muchas personas que no sabían que, por ejemplo, si ven una imagen suya en las redes pueden pedir la tutela de la Agencia y ahora sí lo saben.

En atención al ciudadano, hemos notado muchísimo un incremento de la actividad. Ha aumentado el acceso a las ‘Preguntas frecuentes’ de la web de la Agencia, por ejemplo. Y luego realizamos cerca de 100.000 consultas presenciales o telefónicas. Hemos puesto en marcha un servicio nuevo, que se llama “Informa” y está dedicado a empresas y administraciones públicas —no a las consultorías: la Agencia no va a asesorar gratis a una consultora que luego va a comprar un cliente— para precisamente ayudar y acompañar con el RGPD.

¿Se prevén más denuncias a partir del 25 de mayo?

Es que no tengo una bola de cristal… Pero como va a haber campaña en TV, los medios nos estáis dando mucha cobertura a la actividad de la Agencia, y es un cambio normativos muy importante porque la protección de datos afecta trasversalmente a todo tipo de actividad, pues es previsible que sí.

Cuando entré en la Agencia no me imaginaba hasta qué punto afecta la protección de datos a todo, y tenemos denuncias que afectan a hospitales, escuelas, un problema con una red social, uso indebido de datos por administraciones púbicas…. Es que toca todos los ámbitos, ya que nuestros datos se utilizan desde que nos levantamos hasta que nos acostamos. Por ello, es probable que haya más denuncias.

¿Temen una instrumentalización de la AEPD como ‘arma’ de venganza entre compañías o particulares?

Bien, esa tendencia se puede dar, y es cierto que a veces nos llegan denuncias entre vecinos, o bien entre padres separados por el uso de las imágenes de los hijos en común. Ahí, la Agencia es muy rigurosa y no permitimos la instrumentalización. En el caso de los padres separados, por ejemplo, remitimos los casos a la jurisdicción civil. Y uno de los aspectos del reglamento es que, en su régimen sancionador, tiene una horquilla: la gente sólo está pensando en las multas de 20 millones de euros o del 4% de la facturación global, pero hay una escala: se puede dar desde una advertencia y un apercibimiento hasta ya iniciar el procedimiento económico puro y duro, y dentro de éste hay una escala.

"La gente piensa en multas de 20 millones de euros o del 4% de la facturación global, pero hay una escala"

Esto también nos permite poder priorizar, porque evidentemente con los inspectores que tenemos no podemos llegar al último rincón de un país y a una investigación presencial en cada una de las miles de denuncias que recibimos.

Sí puedo decir, como directora de esta Agencia, que no nos vamos a dejar instrumentalizar ni políticamente ni por ningún particular.

Por cierto, ¿cuántos inspectores tiene la AEPD?

Quince.

¿Hay previsión de que esta cifra aumente?

Bueno, en los presupuestos de 2017 se ampliaron las plazas a 17, y este año, hasta que no se aprueben los presupuestos no se puede aumentar la plantilla. Yo estoy trasladando al Ministerio de Hacienda casi desde que llegué a la Agencia que necesitamos medios. Evidentemente, si tenemos que supervisar vulneraciones en el uso de redes sociales, en plataformas, blogs… Es imparable. Y los casos son muy complejos. Por poner un ejemplo: en el caso de Facebook y Cambridge Analytica, la autoridad británica de protección de datos investiga con 30 inspectores y dos gabinetes jurídicos externos; nosotros, cuando sancionamos a Facebook por su política de privacidad, hicimos la investigación con dos inspectores.

El problema de los datos y la administración pública

A pesar de tener un mandato legal claro (marcado tanto por ley como por reglamento), ¿considera usted que la AEPD debería tener alguna competencia de control o incluso sancionador sobre las Administraciones públicas, que también manejan datos? ¿Algo más que un apercibimiento, por ejemplo, como consecuencia a un mal uso de los datos personales?

Hay una serie de escalas. Con carácter general, cuando hay constancia por parte de la agencia de que se ha producido una infracción por cualquiera de las tres Administraciones públicas, lo que técnicamente realizamos es un procedimiento de declaración a la Administración. Si constatamos que esa Administración no ha corregido el problema, entonces existe la posibilidad de realizar un seguimiento para vigilar qué medidas se toman para evitar que esa situación se vuelva a repetir (una apertura de investigación). Y aparte de ello, la investigación se envía al Defensor del Pueblo, encargado de vigilar todo posible mal funcionamiento de las instituciones.

Existe una previsión, en el proyecto de la nueva Ley Orgánica de Protección de Datos, de que, en el caso de las administraciones públicas, publicaremos esas declaraciones de resolución de infracción —o sea, que no es un apercibimiento, sino una infracción en toda regla— en la página web, indicando además la identidad de la persona responsable.

Todo esto es compatible con otras medidas: si el responsable ha sido un funcionario, la administración correspondiente puede abrir un expediente sancionador contra él por el Estatuto Básico del Empleado Público, y si ha sido un alto cargo, por el estatuto de Altos Cargos, que se aplicaría en este caso. Y todo lo anterior, a su vez, es compatible con posibles responsabilidades civiles y penales, en su caso. Es decir, hay un amplio abanico de posibilidades.

Pero ¿echa en falta alguna medida extra —sancionadora o de otro tipo— dentro de las competencias de la AEPD en este sentido?

Es que ir más allá no sería posible legalmente. Incluso el Defensor del Pueblo se tiene que limitar en su caso a recomendar al órgano competente qué tipo de expedientes se pueden instruir. El caso de que un funcionario haya cometido una infracción, se aplica el Estatuto Básico del Empleado Público y la sanción depende de los órganos competentes de cada administración. Nosotros no podemos incoar un expediente disciplinario, eso sería una injerencia.

Hablemos de la protección de los datos y de la separación de poderes. ¿Qué opinión le suscita que el Poder Ejecutivo sea el que custodia los datos del Judicial, a través de LexNet, por ejemplo? Desde su punto de vista, ¿compromete este hecho la separación efectiva de poderes? ¿Nos tenemos que fiar?

Bueno, yo lo que puedo decir es que, en estos casos, el poder Ejecutivo lo que hace es proporcionar los medios técnicos necesarios precisamente para que el poder judicial pueda ejercer sus funciones, así que la separación de poderes funciona. Simplemente es una disposición de los medios. En el caso de LexNet, además, en la resolución sobre la quiebra de seguridad detectada hace meses quedó constatado por parte de nuestros inspectores que no afectó a ficheros jurisdiccionales. Eso mismo también lo constató el Consejo General del Poder Judicial (CGPJ), que es el competente para investigar si hay quiebras de datos en materia de ficheros jurisdiccionales, por lo que archivó el procedimiento. Es decir, lo que quisiera transmitir en este asunto es tranquilidad.

El sistema de Códigos Seguros de Verificación (CSV), implantados ampliamente en toda la administración general, como en Justicia o Hacienda, no disponen aparentemente de ninguna capa de seguridad. ¿Tiene la agencia alguna sugerencia al respecto?

Por lo que tengo estudiado, es algo que está habilitado legalmente por la Ley 29/2015 y por su propio reglamento, una Orden Ministerial, etc. Por ejemplo, en el caso de la sentencia de la Audiencia de Navarra, en el asunto conocido como el caso de ‘La Manada’, la filtración del CSV provino de un órgano judicial y yo debo de ser respetuosa porque quien está investigando es el CGPJ. No fue un problema de falta de seguridad respecto del código, que precisamente es un sistema seguro de verificación y de autenticación que permite obtener, a partir de un documento en soporte de papel, la copia íntegra del documento original en formato electrónico. El tema en este caso es que a ese código sólo puede acceder el interesado en un procedimiento administrativo, o la parte en un procedimiento judicial. Por lo que tengo entendido, por tanto, es que no fue un problema de seguridad del código en sí, sino que se comunicó el código y no debió haberse hecho.

No es que hubiera un problema de seguridad del sistema en ese caso concreto, sino que el sistema de CSV está pensado para que sólo con la introducción de una variable —el código— la administración devuelve al usuario la documentación íntegro. Sin más capa de seguridad. ¿No entra esto en colisión con el principio de la seguridad desde el diseño, que ya consagra la normativa?

El que exista una capa de seguridad es algo que debería de plantear el CGPJ en el ámbito de la protección de los ficheros jurisdiccionales, y los responsables de las administraciones públicas cada uno en su ámbito. Yo no me puedo pronunciar a este respecto.