Crónica del Privacy Day Enatic
El pasado 25 de enero, con motivo de la conmemoración del 5º aniversario de la publicación del RGPD y del Día europeo de la Protección de Datos, Enatic celebró su primer webinar del año 2023
El webinario contó con el apoyo institucional del Supervisor Europeo de Protección de Datos (EDPS), mediante la participación de su Director General, Leonardo Cervera-Navas y de la Agencia Española de Protección de Datos (AEPD) a través de la intervención del Subdirector General de Promoción y Autorizaciones, Julián Prieto Hergueta.
La inauguración corrió a cargo del presidente de Enatic, Carlos A. Saiz Peña quien realizó un repaso de lo que han supuesto estos cinco años bajo el paraguas del RGPD y quien destacó los avances conseguidos en materia de protección de datos: reglamento europeo propio, conseguir que la privacidad sea considerada como un derecho fundamental, junto con el hecho de que ésta se haya convertido en un elemento táctico y estratégico en las empresas toda vez que existen otras normas como NIS2, DORA etc, que elevan el mundo de la privacidad y la protección de datos a la alta dirección.
Hemos logrado que las empresas le den la importancia que merece a la protección y salvaguarda de los datos, amén de la figura y gran trabajo desempeñado por los Delegados de Protección de Datos, que las organizaciones han de aprovechar para llevar a cabo el proceso de transformación digital de las mismas.
No obstante, a día de hoy, sigue habiendo retos importantes, especialmente para los delegados de protección de datos y responsables de privacidad, aspectos en los que seguir trabajando como el planteamiento del “privacy by design” para que la privacidad y la ciberseguridad formen parte de todos los procesos de la empresa, la importancia de la trazabilidad, o emplear la tecnología para que nos ayude a implementar y cumplir, de manera más real, la norma en nuestras organizaciones.
La jornada continuó con la intervención de Leonardo Cervera, Director General del EDPS quien nos puso en contexto de la situación actual de la protección de datos tanto a nivel nacional como internacional y nos adelantó dos proyectos en los que actualmente se está trabajando en Europa.
Cervera destacó el gran cambio acaecido en la Sociedad respecto al impacto de la protección de datos dado que hace 10 años era un asunto completamente desconocido y, respecto a la concienciación en las empresas, señaló que uno de los indicadores más reveladores de este cambio es el número actual de delegados de protección de datos, que se sitúa en unos 100.000, cifra impensable hace unos años.
A pesar de ello, continuó en su exposición, hay aspectos que mejorar como la insistencia de algunas organizaciones en aplicar el RGPD “a la antigua”, al modo de la Directiva del año 1995, sin tener en cuenta el principio rector del reglamento, que es el de responsabilidad proactiva o accountability, que supone aplicar la normativa conforme a los requerimientos del negocio.
Hay que ser fiel con el cumplimiento de la normativa pero también flexible porque hay que ayudar a las instituciones y organizaciones que quieren cumplir con la normativa de protección de datos.
A nivel europeo Leonardo Cerverá destacó los grandes logros conseguidos en protección de datos y destacó la importancia de crear una autoridad europea de protección de datos que se sitúe por encima de autoridades regionales y nacionales para evitar diferencias de criterio o multas desiguales entre países. No obstante, señaló el papel fundamental del Mecanismo de Cooperación y Coherencia del RGPD y del Comité Europeo de Protección de Datos (CEPD) que garantiza que el Reglamento General de Protección de Datos (GDPR) y la Directiva sobre protección de datos en el ámbito penal se apliquen de manera coherente en los países de la UE.
A nivel internacional, fuera de las fronteras de la U.E, se destaca la cifra de 157 países que han acabado adoptando normas relativas a la protección de datos y la necesidad de que EEUU legisle al respecto.
El reglamento no crea obstáculos sino que trata de humanizar las tecnologías
En cuanto a lo que está por venir, Cervera destacó el Reglamento sobre I.A., que se prevé sea aprobado a finales del presente año y el proyecto de tratado sobre I.A.
La siguiente ponencia corrió de la mano de Julián Prieto Hergueta, Subdirector General de Promoción y Autorizaciones de la AEPD, quien destacó la figura del Delegado de Protección de Datos como elemento clave para que las organizaciones den cumplimiento a la norma a través de su función de asesoramiento, información, supervisión, concienciación o formación. Además, añadió, son el punto de contacto entre la autoridad de control, la organización y los interesados. Prieto subrayó el hecho de que este profesional ha de estar cualificado y conocer en profundidad la normativa, ha de saber cómo aplicarla en la práctica, hecho que resulta difícil ya que no se exige una titulación específica o certificación.
El DPO es un profesional que debe reunir una serie de cualidades, aptitudes y actitudes, capacidades, a saber: formación continua, independencia, disponibilidad y debe contar con los medios necesarios para desempeñar su labor. Por su parte, los responsables del tratamiento de datos deben velar por que estos DPOs dispongan de todos estos recursos y capacidades.
A continuación dimos paso a la primera mesa redonda titulada “DPOS, logros conseguidos y metas por conseguir” integrada por los miembros de Enatic, Belén Arribas, Isabel Mascaró y Jesús Fernández Acevedo, expertos en protección de datos y DPOs, moderados todos ellos por Rodolfo Tesone, presidente emérito de la Asociación.
Las conclusiones más relevantes de esta mesa fueron:
- Faltan delegados de protección de datos y de los que hay, sólo el 1% esta capacitado, formado o certificado.
- Se ha superar el enfoque meramente cosmético, el espíritu de la norma anterior basada en las check lists, y pasar a un enfoque más pedagógico, flexible y acorde con el concepto de accountability.
- Debemos luchar contra el intrusismo profesional de personas que ejercen como DPD sin capacitación.
- Es necesario informar de manera más exhaustiva a la Sociedad sobre las funciones del DPO
- La dotación presupuestaria para ejercer su función es fundamental, así como su independencia, acceso al reporting de alta dirección etc.
- Es importante realizar una segregación de funciones entre las del DPO y las del responsable del tratamiento de datos para que el DPO pueda dedicarse a sus funciones propiamente dichas.
- Debe ser una autoridad moral cuyo trabajo sea reconocido.
- Debe ser el nexo de unión entre la norma y la organización
DPD: de hombre orquesta a director de orquesta
Para finalizar, analizamos la “Nueva normativa cyber (ENS, NIS2, DORA) y su relación con el cumplimiento de protección de dato“, con una mesa redonda integrada por expertos en ciberseguridad como Enrique Cervantes Mora, quien aportó su punto de vista como CISO; Francisco Pérez Bes, antiguo Secretario General del INCIBE; Leandro Núñez, abogado especialista en protección de datos y Jordi Ferrer Guillén, experto en Derecho de las Tecnologías de la Información y de la Comunicación, quien actuó como moderador.
Las conclusiones más destacadas fueron:
- Importante cuidar la cadena de suministro (3rd party): puede que nuestra empresa esté cumpliendo la norma pero no así tus proveedores o cuartas partes, lo cual impactará en tu organización.
- No hay que olvidar a las pymes ya que forman parte de la cadena de sumistro
- Enfoque de mínimos (norma actual) vs enfoque check list (antigua norma)
- Sobre si hay demasiada legislación, los integrantes de la mesa expusieron que la normativa existente es suficiente y está bien estructurada
- Análisis de riesgos: ¿es posible alinear análisis de riesgos en el cumplimiento de la normativa de protección de datos por un lado y del ENS/NIS2 por otro?
- Lo idóneo es buscar coincidencias y sinergias entre normativas diferentes
- Garantizar la continuidad de negocio
- Necesidad de contar con un Comité de Seguridad para coordinar los diferentes roles de DPD, CISO o responsable de seguridad; resolver incidentes; diseñar la estrategia común de la organización etc.
- La gran vulnerabilidad en las organizaciones es la falta de formación del personal y los ataques basados en ingeniería social por lo que la formación y concienciación son fundamentales.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!