GDPR, casi un año después: qué ha mejorado y qué necesita mejorar

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Una de las principales ponencias de la jornada fue la realizada por Barbara Eggl, Delegada de Protección de Datos del Banco Central Europeo, que trató de las relaciones, cada vez más difusas, que existen entre la figura del responsable y del encargado del tratamiento de datos, una de las cuestiones que más preocupa a los profesionales del sector en estos momentos.

Para la experta, el concepto de responsable es clave para la protección de datos porque resulta vital designar responsabilidades, es decir, definir quién es la entidad responsable del diseño del proceso, de la legalidad y del cumplimiento. “Siempre tengo dos preguntas cuando se me presenta una situación en la que tengo que determinar quién es el responsable. La primera es, ¿cuál es el objetivo de lo que estamos haciendo? Y la segunda es, ¿cómo vamos a hacerlo?”.

Cuando se incorpora también el concepto de encargado, Eggl defiende que son y serán muchas las situaciones en las que uno puede ser responsable en una parte del proceso, y encargado en otras, pero es necesario reflejar estos fenómenos atípicos en los acuerdos contractuales. Además, la experta incidió en una idea clara: quien tenga influencia en el diseño y el funcionamiento de un proceso es, sin lugar a duda, el responsable del tratamiento de los datos. No obstante, será imprescindible estudiar cada caso concreto y aplicar la ley a las circunstancias de la situación en cuestión.

Sobre este asunto habló también Jesús Rubí, Adjunto a la directora de la Agencia Española de Protección de Datos (AEPD), Mar España. El experto fue el siguiente en intervenir durante el foro, con las consideraciones generales sobre el primer año de aplicación del Reglamento Europeo de Protección de Datos por parte de la AEPD. Durante su discurso, abordó puntos clave como los modelos de contratación y subcontratación en los que la figura del responsable del tratamiento de datos puede ser compartida; la importancia de regularizar los tratamientos obtenidos a través de redes sociales, así como los mecanismos de borrado y comunicación de los datos entre encargados del tratamiento cuando existe una solicitud del afectado; y los conflictos de interés que pueden darse entre las funciones del DPO y el CISO, entre otros aspectos de interés.

Otra de las intervenciones destacadas del foro fue la de Eneken Tikk, Head of power and influence Studies (Finnish Cyber Policy Institute). Bajo el título “Data Protection Governance in a GDPR Context”, la experta centró su discurso en la normativa GDPR, explicando por qué se trata de un modelo que debería implementarse, incluso, a nivel mundial. “Promuevo el GDPR como forma de vida, como una actitud, porque solamente así la ciberseguridad y la protección de datos se hará realidad y somos todos parte de ello”. 

Tikk defiende que, además de ser un modelo que garantiza la confianza en los servicios y los productos que circulan en la sociedad, lleva por bandera un valor “todavía más importante”, como es la dignidad humana. “Una ley de protección de datos tiene que ver con darnos permiso para ser quiénes somos y lo que queremos ser”, afirmó. En este sentido, distingue la normativa europea del abordaje ruso o chino, en el que “el control estatal es lo primero y no la defensa del individuo”, mientras insiste en promover el GDPR como competidor óptimo frente a otros modelos.

Además no perdió la oportunidad de hacer mención a la figura del Delegado de Protección de Datos, definiéndola como “importantísima a todos los niveles” y con la que el cumplimiento de la norma no sólo consiste en “marcar con un tic cada cuestión revisada”, sino repasar las propias tácticas, adelantarse a los cambios que puedan tener lugar en la industria en relación a los riesgos y amenazas y, en última instancia, hacer lo posible porque su empresa sea la mejor.

Enfoque proactivo de la ciberseguridad
El encuentro contó también con una segunda mesa redonda titulada “GDPR, A Proactive Approach To Cybersecurity”, en la que participaron Guy Leibovitz, CEO de Cognigo; Luca N. Livrieri, Manager Sales Engineering de Forcepoint para Italia e Iberia; Raúl Gordillo, Regional Manager de Crowdstrike para España y Portugal; Edwin Gordillo, CISO de FCC, e Iván Sánchez, CISO de Sanitas, como moderador.

Sin duda, la cuestión principal que se abordó durante el debate fue la idea de la normativa GDPR como catalizador o acelerador de proyectos en ciberseguridad en las compañías. A este respecto, los interlocutores coincidieron en que, efectivamente, el Reglamento ha supuesto un impulso de mejora para las empresas en lo referente a nuevas prácticas e implementación de tecnologías. No obstante, destacaron la posibilidad de entrar en conflicto con la norma en ciertas ocasiones al querer aprovechar tecnologías como el blockchain para beneficiarse mejor de los datos.

Aún así, la mesa estuvo de acuerdo en que, en todo caso, estos nuevos desafíos traerán consigo nuevas oportunidades para el negocio, así como nuevas soluciones que ayuden al cumplimiento con GDPR a través del uso de Inteligencia Artificial, por ejemplo. Asimismo, no olvidaron mencionar una parte esencial del trabajo, que es conocer dónde están los datos, una tarea cada vez más compleja en nuestros días cuando el ecosistema de la Nube entra en juego.

Para los ponentes, solo cuando se entienda dónde se ubican los datos, se aplicarán las políticas de retención adecuadas y se asegurarán los datos de especial sensibilidad o riesgo. Para ello, es necesario respetar las metodologías establecidas, determinar cuáles son los procedimientos a seguir y, por supuesto, vigilar el eslabón más débil de la cadena: el factor humano. En esta línea, los participantes de la mesa comentaron que, hace años, los datos se encontraban más centralizados, pero ahora con la transformación digital se encuentran en todas partes y en constante movimiento. Para este fenómeno, lo que se pretende es encontrar una manera de incorporar tecnologías de automatización que permitan gobernar mejor los datos y así poder reaccionar con efectividad una vez se haya realizado un análisis de riesgo.

También se abordó el tema del DPO en otra mesa redonda, que contó con la participación de Pablo Díaz (Delegado de Protección de Datos de Caixabank), Berta Balanzategui (General Electric Corporation), Alfonso Barajas (Alliances Southern Europe, OneTrust), Jaime Martínez (Gerente de Desarrollo de Negocio Privacidad & GRC, Grupo SIA) y Carlos Alberto Saiz (vicepresidente de ISMS Forum Spain y director del Data Privacy Institute) como moderador.

En ella se destacó la necesidad de contar con un carácter poco intrusivo en el negocio por parte del DPO, de manera que pueda tener la independencia suficiente para que la empresa siga con su labor, al tiempo que se cumple con la norma, dejando el grueso del trabajo al resto del equipo y permitiéndose el delegado tener agilidad y capacidad para intervenir en temas que de otra manera resultaría complicado.

En el evento también participaron Peter Burgess, profesor, director y experto en Geopolítica del Riesgo en ENS, y Giovanni Buttarelli, Supervisor Europeo de Protección de Datos.