Jesús Yañez, Ecija Abogados
¿Vamos a tener una nueva LOPD adaptada a las exigencias del reglamento europeo de protección de datos antes del 25 de mayo? Te lo pregunto porque, por lo que tengo entendido, hay un proyecto de la nueva ley en el Congreso al que se le están haciendo enmiendas, pero no sé si va a haber una aprobación a tiempo.
J. Y.: Difícil de contestar…. Actualmente el proyecto de ley orgánica de protección de datos está en el Congreso desde noviembre de 2017. Sin embargo, no ha sido hasta el pasado mes de febrero cuando comenzó el debate parlamentario. Superó una enmienda a la totalidad, hubo una comparecencia en el congreso de la directora de la Agencia Española de Protección de Datos explicando este proyecto hace escasamente una semana, y continúan los trámites parlamentarios. ¿Llegará a tiempo? Parece difícil en tanto en cuanto en el debate de enmienda a la totalidad, los distintos grupos adelantaron que presentarán enmiendas parciales, por lo que la aprobación final puede demorarse.
“No existirá un vacío jurídico como tal, pero sí una inseguridad importante”
¿Qué consecuencias tendría el no contar antes del 25 de mayo con una ley nacional que regule esta materia? ¿Existe riesgo de que se dé inseguridad jurídica y que las empresas se expongan a elevadas sanciones por ese motivo?
J. Y.: La realidad es que no existirá un vacío jurídico como tal, pero sí inseguridad, y una inseguridad importante. El motivo es que, sin que este proyecto de ley entre en vigor, el Reglamento Europeo convivirá a partir de mayo con la actual LOPD y el RD 1720/2007 en aquellos aspectos en los que estas dos normas no contradigan al Reglamento, por lo que comenzaríamos con criterios interpretativos que hacen flaco favor a la seguridad jurídica.
No cabe duda de que la norma a aplicar va a ser el Reglamento, y, de hecho, la nueva ley que se apruebe tampoco puede contradecir al Reglamento, sino especificar en aquellos aspectos donde éste lo permita. Sin embargo, esas especificaciones son las que están haciendo que muchas empresas estén a la espera de saber con qué han de cumplir finalmente.
En líneas generales, ¿qué cambios o matizaciones introduce el proyecto de la nueva LOPD frente al marco más general del GDPR europeo?
J. Y.: Pocas novedades, pero alguna importante: el consentimiento de menores a partir de los 13 años, ejercicio de derechos para familiares de personas fallecidas, ciertas especificaciones en el caso de ficheros de solvencia patrimonial (o comúnmente llamados ficheros de morosos) y, lo más importante, se define con mayor claridad qué sectores necesitan un delegado de protección de datos (DPO).
“No creo que las sanciones sean un factor impulsor para la adaptación del GDPR”
¿Cómo van las empresas españolas en su adaptación a la nueva legislación de protección de datos?
J. Y.: A marchas forzadas, pero no sólo en España, sino en toda Europa. En el caso de España, la inseguridad creada por la “nueva LOPD” ha hecho que en muchas ocasiones se haya esperado para adaptarse al Reglamento, y es una adaptación difícil, principalmente por ese giro de mentalidad hacia el análisis de riesgos y la “autoevaluación”. Pero en general, estamos encontrando que en España tenemos más facilidad para cumplir con ciertos requisitos del Reglamento, como la creación de un registro de actividades de tratamiento, que en otros países.
Entiendo que las grandes cuentas y el sector público ya habrán andado adelantado mucho. ¿Es así?
J. Y.: Efectivamente, a día de hoy son las grandes cuentas las que están poniendo en marcha el panorama de adaptación al Reglamento Europeo en España. Generalmente son empresas que están más acostumbradas a los cambios, que tienen que cumplir con otras normativas, incluso a nivel internacional, y, en muchos casos, incluso con sistemas de gestión de algún tipo o de certificación, por lo que han sido previsoras comenzando sus adaptaciones al menos desde hace un año.
¿Y qué pasa con las pymes?
J. Y.: Lógicamente va más lento. La protección de datos aún se percibe por muchas pymes, micropymes y autónomos como un “mal” que debe acometerse sin entender muy bien por qué. Sin embargo, el Reglamento va a hacer que las pymes se adapten mucho más rápido, por un efecto llamada clave; y es que impone a las empresas la diligencia en la elección de proveedores, de forma que tendrán que valorar si cumplen de forma adecuada con la normativa. Esto va a hacer (y lo está haciendo ya) que grandes empresas estén preguntando a sus proveedores, en muchos casos pymes, cuál es su grado de adecuación, tanto a nivel legal como a nivel de medidas de seguridad, lo que hace que estas pymes, ya no por un tema de concienciación, sino de perder un cliente importante, comiencen la adaptación.
“La elección del delegado de protección de datos o DPO no está siendo una tarea fácil”
Écija asesora a muchas compañías en esta transición. ¿Cuáles son los puntos de GDPR que más está costando asumir a las empresas?
J. Y.: Sin duda los siguientes aspectos: modificación de las cláusulas de consentimiento informado para permitir al interesado sobre qué da su consentimiento y sobre qué no (especial importancia en comunicaciones comerciales y cesiones), la diligencia en la elección de los proveedores y la modificación de los contratos con estos, la realización de los análisis de riesgos y evaluaciones de impacto, lo que supone un cambio de mentalidad total que supone una auténtica novedad para la gran mayoría de las empresas españolas, y, por último, la adopción de medidas de seguridad, más si cabe tras la publicación de la guía sobre protección de datos de ENISA, que viene a equiparar las medidas de seguridad técnicas recomendadas con controles habituales de la familia de ISO 27000, lo que supone un refuerzo muy importante de estas medidas. Por último, está la elección del delegado de protección de datos o DPO, que no está siendo fácil. Muchas empresas no saben si optar por una figura interna, externa, más enfocada al ámbito legal, o más enfocada al ámbito de seguridad, ya que perfiles mixtos son muy difíciles de encontrar.
¿Y en qué puntos la adaptación está siendo más fácil?
J. Y.: Sin duda en la realización del registro de actividades de tratamiento. Contábamos con una muy buena base con los antiguos ficheros registrados ante la Agencia Española de Protección de Datos y las auditorías bienales, donde las empresas ya eran conscientes de qué tipo de tratamientos realizaban. Han tenido que especificarse más, pero se contaba con mucha información y una muy buena base.
¿Está de acuerdo con algunos expertos que dicen que el ritmo de adaptación dependerá sobre todo de que haya o no multas sonadas?
J. Y.: Yo no soy muy partidario del miedo a las sanciones… Es un miedo que también se tuvo con la LORTAD y nuestra LOPD, y al final ha sido más una cuestión de probabilidad en función del sector empresarial, y de ser diligentes en el tratamiento de datos. ¿Ha habido sanciones? Por supuesto, algunas desde mi punto de vista totalmente fundamentadas, y otras no tanto, pero tampoco creo que haya habido una persecución a la empresa privada, sino una respuesta de la Agencia ante denuncias presentadas por particulares que ven vulnerados sus derechos. No creo que las sanciones sean un factor impulsor. En cambio, ese efecto “llamada” del que hablaba anteriormente me parece esencial: ya no es un miedo a que me pongan una sanción; es miedo a que si no adapto mi empresa y mis sistemas, es probable que mis clientes prescindan de mis servicios… y esto ya son palabras mayores.
Fuente: http://www.computing.es
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |