La gran mentira del RGPD

Nos mienten

Pensaréis que  soy muy pesada y muy cansina, pero es que no paro de escuchar tonterías y más tonterías sobre el Reglamento General de Protección de Datos europeo (RGPD o GDPR).

No son pocos los clientes que me cuentan que están siendo sometidos a auténticos acosos por parte de comerciales que casi amenazan con los riesgos de no adaptarse al RGPD.

De hecho, los padres, ya no asustan a sus hijos pequeños con aquello de “que viene el coco”. Ahora les dicen “nene, duérmete ya, que si no vendrá el inspector de la Agencia Española de Protección de Datos con su RGPD bajo el brazo y te multará”.

Malos tiempos para la protección de datos (aunque muchos crean que son excelentes y pretendan hacer su agosto). Corren días de bulos, desinformación, tomaduras de pelos y despropósitos, que me hacen plantearme seriamente dedicarme a otra cosa.

No hace mucho, un cliente me mostraba pasmado un presupuesto que le habían hecho llegar para cubrir el servicio de Delegado de Protección de Datos: mil quinientos euros al mes. Puede parecer poco según qué organización, pero te aseguro, lector, que en esta entidad no tenía lógica ni justificación.

Es abusar por abusar.

Y es que a medida que avanzo en el estudio y la aplicación del RGPD, me convenzo más de que es una gran tomadura de pelo, y una indiscutible estafa.

La gran mentira del RGPD. Sí, señor.

Se está haciendo una magnífica campaña de difusión de la norma (cuando hasta ahora casi no se hablaba de ella, empezando por la propia Agencia Española de Protección de Datos), propiciada –entiendo- por certificadoras y consultoras de LOPD, porque ahora interesa vender sellitos y delegados de protección de datos.

Todo es nuevo. Todo es terriblemente sancionable. Todo es un universo inexplorado donde, si no entras, mueres.

Adaptarse o morir.

Pues no, señores: El RGPD es una gran mentira.

¿Quiere decir eso que no tenemos que adaptarnos al RGPD? Por supuesto que no quiere decir eso. Sí que hay que adaptarse. Es más: tenías que estar adaptado desde hace varias décadas.

Es como conducir a la velocidad reglamentaria. No puedes superar los 120 km/h en autovía y lo sabes.

Partiendo de que ya debías estar adaptado antes a la LOPD (sí, esa a la que te has pasado toda la vida sin hacerle el menor caso), adaptarse al RGPD es bastante simple.

Me atrevo a decir que en un 95% el RGPD es lo mismo de antes pero poniéndole otro nombre a las mismas cosas que ya había, para que un montón de ingenuos como tú, crean que todo ha cambiado,  y para que los consultores puedan llamarte y decirte “uuuuhhh, que el día 25 de mayo viene el RGPD…”.

Algunos ejemplos demostrables de que el RGPD es un timo:

1º. La responsabilidad proactiva: esto es igual que los actimel, como diría mi amigo Antonio el SEO. ¿Qué pasa? ¿Que con la LOPD los responsables de tratamiento tenían que ser PROPASIVOS? Siempre han debido ser activos en la aplicación de la norma y estar en condiciones de demostrar que la cumplen. ¿Dónde está la novedad?

2º. La obligación de contratar a encargados de tratamiento que estén adaptados al RGPD (artículo 28.1 RGPD ). ¿Alguien se ha leído el artículo 20.2 de nuestro RD 1720/2007, de 21 de diciembre, por curiosidad? Pues dice exactamente lo mismo.  Y desde hace once añitos, ojo. Pues bien, ahora esto lo pintan como el fin del mundo.

3º. El Delegado de Protección de Datos. No es tan distinto de lo que debía haber sido un Responsable de Seguridad, definido desde hace once años en el artículo 95 del citado Reglamento Español. Una persona encargada de coordinar y controlar las medidas de seguridad. Igual que el “nuevo” DPD. El RGPD lo que ha hecho es especificar en qué casos se nombra ahora, detallar más sus funciones, ponerlas acorde con la nueva norma, y definir su calidad y su naturaleza. Y hacerlo certificable o susceptible de ser certificado, ojo.

4º. El análisis de riesgos con su cuestionario de cumplimiento normativo: las auditorías de toda la vida, vamos. Antes se hacían cada dos años y sólo en ciertos casos. Y ahora son extensibles a todos los responsables de tratamiento. Pero mantienen la misma estructura del sistema de auditorías que la propia AEPD proponía en su Guía de seguridad de 2010 (http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf ). Riesgos-Deficiencias-Controles.

5º. El Registro de Actividades de Tratamiento: es lo mismo que hacíamos cuando notificábamos los ficheros a la AEPD. Le cambian el nombre y lo exigen a nivel interno y no mediante inscripción en el Registro. Hace mil años que debías tener hecho tu registro…

Y puedo seguir, pero es hasta aburrido.

Cuidado, en definitiva, con lo que te cuentan y con lo que te crees. Internet es muy mentiroso. Los comerciales de LOPD, también.

Se nota que hoy estoy un poco mosqueada, ¿verdad?, jeje.

 

 

Certificación Delegado Protección Datos

Certificado Delegado Protección Datos

 

Como sabemos, el Reglamento General de Protección de Datos Europeo, exige –entre otras cosas- la designación de un Delegado de Protección de Datos en el caso de las Administraciones Públicas, de entidades que realicen una observación habitual y sistemática de las personas a gran escala, y de entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

Y tal y como sucede con casi todas las novedades legislativas, mucho se está hablando de esta figura y continuamente se está generando confusión e ideas erróneas.

Hace poco, precisamente, presentaba la Agencia Española de Protección de Datos su Esquema de Certificación de Delegados de Protección de Datos, junto a ENAC, y ya se comienza a hablar de la obligatoriedad de que tu Delegado de Protección de Datos esté certificado.

Pero eso es incorrecto.

Una cosa es que sea recomendable establecer sistema de certificación, y otra que el Reglamente Europeo lo exija.

Ninguna norma impone la obligación de que el Delegado de Protección de Datos esté certificado.

No obstante (entiendo que claramente por intereses económicos de Certificadoras y otros organismos), se está dando gran importancia a la certificación. El mensaje que se lanza es que si bien no es obligatoria, es garantía de profesionalidad.

En mi opinión, poco garantizan la mayoría de las veces estas certificaciones. A mí lo único que me dejan claro es que alguien ha pagado más de mil euros por obtener un título (para que encima no te lo den, claro…). De hecho, he asistido a más de un proceso de certificación y risa me da lo que allí se ha certificado.

Pero claro, el negocio es el negocio.

Dice literalmente la AEPD en su comunicado que:

“La AEPD ha optado por promover un sistema de certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

“La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a Delegado de Protección de Datos.”