Home > Blog > Noticias > ¿Qué opinan los expertos sobre el caos que se produjo días antes de la aplicación del Reglamento General de Protección de Datos?
El caos antes de la aplicación del Reglamento General de Protección de Datos
El pasado 14 de febrero se celebró la tercera edición del DataDay que contó entre otras ponencias, con una mesa redonda sobre protección de datos. Debido al caos que se produjo días antes de la aplicación del Reglamento General de Protección de Datos, donde todos nosotros recibimos multitud de correos a nivel personal y profesional para solicitarnos el consentimiento para tratar nuestros datos, desde DataCentric no queríamos dejar pasar la oportunidad de que los ponentes expertos en la materia, Javier Fernandez Samaniego socio director de Samaniego Law, Paloma Llaneza CEO y Head of Information Technology de RAZONA LEGALTECH, Alonso Hurtado socio de Socio del área de IT, Risk & Compliance de ECIJA y Javier Tamayo Responsable Legal, Privacidad y Regulación de Dir. Negocio Multimarca (O2 | Tuenti) en Telefónica España nos trasladaran sus reflexiones sobre una cuestión tan candente.
La respuesta de los ponentes fue unánime coincidieron en resaltar que es imprescindible un cambio de filosofía, que hasta el momento no se ha producido.
En palabras de Samaniego la mentalidad que tenemos es parecida a la que generó el plan de prevención de riesgos laborales, es decir, elaboramos un check list, redactamos la documentación correspondiente y la olvidamos en un cajón. Efecto mimético, días previos a la aplicación del Reglamento General de Protección de datos multitud de empresas remitieron emails con la finalidad aparente de cumplir la normativa, con esa sola remisión.
Paloma Llaneza destacó que el cambio de paradigma en el Reglamento es tan brutal que dificulta su aplicación con las herramientas de las que disponemos actualmente, la voluntad de cumplir estará ahí, pero exigirá mucho trabajo. Requiere reaprender la gestión de la privacidad desde el riesgo. El activo con el que trabajamos es con la privacidad. El análisis del riesgo en privacidad es muy dificultoso, no hay una buena metodología para trasladar la privacidad a unos parámetros y examinar los controles.
Alonso Hurtado fue contundente al afirmar que de los correos que se mandaron la semana del 25 de mayo ni el 1% eran correctos o necesarios. Muchas entidades remitieron correos electrónicos pidiendo consentimiento sin necesidad de hacerlo, lo que originó enfados con el efecto añadido y no deseado de que no pueden tratarlos en sus bases de datos hasta que no reciban la oportuna contestación a los correos, pues les han generado la expectativa razonable que su tratamiento está basado en su consentimiento y no en otras legitimaciones.
Javier Tamayo calificó como bola de nieve la reiteración de comunicaciones, pues gran parte de ellas no eran obligatorias, porque se había recabado oportunamente consentimiento de manera legítima y adecuada conforme a la normativa vigente. La comunicación solo era necesaria cuando los tratamientos de datos estaban basados en una base legitimadora de consentimiento tácito que no era válido conforme a la normativa europea. Precisó el ponente que algunas empresas, que no tenían conocimientos específicos sobre la materia, ante el rumor de posible imposición de sanciones elevadas, inundaron a sus clientes con correos. Es cierto, concluyó Tamayo, que algunas de las comunicaciones servían para notificar los cambios en las políticas de privacidad, medida exigible, pero la gran mayoría de las comunicaciones, el 95%, en palabras de la Agencia Española de Protección de Datos eran innecesarias.
Desde DataCentric a través del artículo “El efecto GDPR sobre nuestras Bases de Datos” escrito por Gerardo Raído, Chief Digital Officer, el 23 de mayo de 2018, ya habíamos manifestado la innecesaridad del envío de muchos de los emails.
Podemos concluir que el foco de atención se debía de haber puesto en analizar otro concepto fundamental, que es el interés legítimo o, dicho de otra manera, la habilitación de la que disponía cada empresa para poder tratar los datos en lugar de enviar correos de manera masiva e indiscriminada.
Ángeles Martínez Pérez
Directora Área Legal de DataCentric