"La protección de los datos debería ser una asignatura obligatoria en los colegios"
Flora Egea es la delegada de protección de datos (DPO) de BBVA. En sus manos tiene una labor crucial: garantizar que el banco se adapta al reglamento europeo GDPR (las siglas en inglés: General Data Protection Regulation), que ha revolucionado la forma en que las empresas tratan los datos personales. Cuando se cumplen seis meses desde su aplicación efectiva, considera que la norma ha elevado la concienciación de los ciudadanos sobre la necesidad de proteger sus datos personales, pero aún quedan cosas por hacer. En su opinión, GDPR ha sido un reglamento muy positivo para Europa, que se sitúa como referente mundial ya que eleva la protección de los datos a la categoría de derecho fundamental.
PREGUNTA: Se cumplen seis meses desde la plena aplicación de GDPR, ¿qué valoración haces de este primer medio año de vida del reglamento?
RESPUESTA: La valoración es muy positiva. Se observa una mayor concienciación en los ciudadanos respecto a su derecho fundamental a la protección de sus datos personales, pero también hay cosas a mejorar. Un ejemplo es que la Agencia Española de Protección de Datos ha recibido muchísimas comunicaciones de brechas de seguridad, que no debían haberse comunicado conforme a GDPR. En definitiva, hay que ir afinando en su aplicación.
P: ¿Cómo ha puesto BBVA en marcha un reglamento que cambia tantas cosas?
R: La norma ya está implantada en BBVA. Lo que ocurre es que no tiene una fecha de finalización. Es un proceso continuo y vivo, ya que surgen nuevos productos y servicios que constantemente deben adaptarse a GDPR, y estamos incluyendo otros ejes donde se tratan datos personales, como proveedores o empleados. Efectivamente, ésta es una organización enorme. El esfuerzo ha sido titánico y el éxito se debe a cómo se han involucrado todos los equipos que han participado. Esa ha sido la clave para poder implantar este reglamento.
Se observa una mayor concienciación en los ciudadanos respecto a su derecho fundamental a la protección de sus datos personales, pero también hay cosas a mejorar
P: ¿Habéis tenido que hacer también mucha labor de formación acerca de GDPR?
R: Sí, es una de las funciones que recae en el DPO, en el Delegado de Protección de Datos. Hemos enviado comunicaciones a clientes, directamente y a través de la red de oficinas, hemos hecho una labor de formación por departamentos para empleados, además de un curso ‘online’ obligatorio para todos. Y continuaremos con más iniciativas.
P: ¿Cómo habéis comunicado el nuevo reglamento a los clientes?
R: Se comunicó a un porcentaje muy elevado de clientes en enero, aprovechando la obligación que teníamos de cumplir con el llamado “deber de informar” establecido en GDPR. Fuimos el primer banco, y de las primeras empresas en España, en comunicarlo a sus clientes. Se hizo de muchísimas formas, de manera ‘online’ principalmente a todos los clientes que utilizan los canales digitales se les informó ‘online’ y, a los que no, en oficinas, por carta y hasta en los cajeros. Los clientes hicieron muchas preguntas a raíz de esa comunicación, porque no todo el mundo era consciente de la llegada de esta norma. Contactaron con nosotros a través del buzón que pusimos a su disposición. Y contestamos a todas sus preguntas. De esta forma, BBVA puso el listón alto al resto del mercado en la adaptación a GDPR. Todos los que tenían que cumplir después con la norma, han mirado cómo lo hemos hecho nosotros y, como mínimo, han tratado de llegar a este nivel.
BBVA puso el listón alto al resto del mercado en la adaptación a GDPR. Todos los que tenían que cumplir después con la norma, han mirado cómo lo hemos hecho nosotros
Flora Egea, delegada de protección de datos (DPO) de BBVA. - BBVA
P: Tú eres la DPO de BBVA. ¿Nos podrías explicar en qué consiste esta figura?
R: La función del DPO está regulada en este reglamento. Es una figura obligatoria en determinados tipos de compañías y también en las autoridades u organismos públicos. Cada compañía debe hacer su propio análisis conforme a los criterios que GDPR establece, para determinar si le aplica la obligación de nombrar un DPO o no y emitir un informe, que debe custodiar y quedar a disposición de la autoridad de protección de datos.
En el caso de los bancos, grandes financieras, empresas de seguros… no había ninguna duda de que era obligatorio. Esto es así en toda la Unión Europea. Por tanto, era evidente que BBVA necesitaba un DPO. La función de este delegado de protección de datos es ser el garante dentro de la compañía del respeto al derecho fundamental a la protección de datos personales. Es la persona que vela porque se respeten esos derechos y se tengan en cuenta cada vez que se hace un nuevo producto o servicio y en todos los tratamientos de datos que realiza la compañía. La labor es enorme, pero afortunadamente, cuento con un equipo fantástico y sin ninguna duda, en ellos radica el éxito de nuestro trabajo.
P: Por ejemplo, si un cliente tiene una duda o algún problema relacionado con el tema de los datos en BBVA, ¿se puede dirigir a ti?
R: Por supuesto. Un cliente, un empleado, un proveedor, un accionista o incluso una persona que no sea cliente de BBVA pero tenga una inquietud, tiene derecho a consultar al DPO.
P: GDPR es un reglamento, lo que quiere decir que es obligatorio en toda Europa. ¿Es diferente su aplicación en España y el resto de Europa?
R: El que sea un reglamento obliga a que sea de aplicación de la misma manera, con el mismo texto y al mismo tiempo en todos los países de la Unión Europea. A diferencia de una directiva, que exige una transposición nacional. En este caso, no requiere ninguna transposición nacional pero necesita un complemento para integrarse en el marco jurídico de cada uno de los países de la UE. Esto se hace a través de una ley nacional. Por tanto, tendremos una nueva Ley Orgánica de Protección de Datos (LOPD) en España para encajar GDPR en el marco jurídico español.
P: ¿Y la nueva ley nacional ya está lista?
R: Creemos que va a ser aprobada en breve y que incluirá un nuevo apartado sobre derechos digitales.
P: GDPR es un marco inédito respecto a otros países del mundo, ¿crees que es suficiente para los retos a los que se enfrenta la economía digital? ¿Pueden repetirse casos como el de Facebook en la Unión Europea?
R: Ya teníamos unas leyes antes, pero necesitaban un refresco. Y para ello llega GDPR, y con vocación de quedarse mucho tiempo. No obstante, por sí sola no es suficiente. Llegará el ‘e-Privacy’, otro reglamento que va a ayudar y complementar la norma. También se necesita autorregulación, códigos de conducta y de buenas prácticas. Es importante que tomemos conciencia de su relevancia. Nosotros, por ejemplo, hemos abogado por un código de conducta sectorial de banca.
P: Una ventaja de GDPR es que unifica la protección de datos en Europa, ¿cierto?
R: Esa es su primera misión: la armonización jurídica en la materia, evitando la dispersión que había hasta ahora, porque la directiva anterior se traspuso en 28 normas nacionales que no tenían mucho que ver unas con otras.
P: Hay quienes creen que pone a Europa en desventaja competitiva en algunos sectores como la inteligencia artificial. ¿Crees que esto es así?
R: No, no es así. La inteligencia artificial no solo va ligada a los datos personales, enlaza con montañas de datos de otras características e incluso funciona con datos anonimizados. Por tanto, GDPR no pone a Europa en desventaja competitiva.
P: ¿Crees que GDPR se puede extender a otros países como EE. UU.? ¿Se podría decir que los europeos tenemos mejor protegidos nuestros datos que los americanos?
R: Exacto. Con GDPR, los datos de los europeos están más protegidos que en EE. UU. En Europa esta protección de datos es más importante. En EE. UU. la concepción es diferente: van hacia la protección de la privacidad, lo que ellos llaman ‘data privacy’, en lugar de ir a la protección de los datos, o ‘data protection’ para los americanos.
Con GDPR, los datos de los europeos están más protegidos que en EE. UU. En Europa esta protección de datos es más importante
P: ¿Qué diferencia hay?
R: Están estrechamente relacionados, pero no son lo mismo. La privacidad está más ligada al acceso autorizado a los datos, y la protección de datos a proteger el acceso no autorizado. La protección de datos personales en EE. UU. no es un derecho fundamental, pues prima el negocio, el mercado. No obstante, este listón que GDPR ha puesto en Europa, que además obliga al resto del mundo a cumplir con nuestra norma si quieren trabajar aquí, hace que el efecto contagio funcione. No solo en América Latina, sino también en EE. UU. Hace muy poco se ha aprobado en California una ley de privacidad que tiene muchísimas cosas en común con GDPR. En la última reunión anual de autoridades de protección de datos que se celebró en Bruselas, al menos dos de las grandes empresas tecnológicas americanas, como son Apple y Facebook, abogaron porque se impulsara una ley federal similar a GDPR.
P: ¿Tiene sentido esta petición?
R: En materia de protección de datos, las grandes empresas funcionan de acuerdo a estándares. Luego, si son capaces de cumplir la norma aquí, deben ser capaces de cumplirla en otras geografías. Tiene sentido una ley GDPR global y estandarizada.
P: Si bajamos GDPR a la vida real de los consumidores, ¿cómo les afecta en su día a día?
R: Cuando se informó del cambio de norma, los consumidores recibieron un aluvión de comunicaciones, sobre todo por correo electrónico. En aquel momento, se percibió como ‘spam’. En BBVA, en cambio, al comunicar el cambio en enero, conseguimos calar en nuestros clientes. Logramos el efecto que buscábamos, informativo y formativo. Es cierto que poco a poco se va viendo un mayor nivel de concienciación en los ciudadanos en este aspecto. GDPR empodera a la persona para que sea consciente de que tiene unos derechos sobre sus datos y decida qué quiere hacer con ellos.
P: Obliga a las empresas a ser más transparentes a la hora de que el cliente acepte las condiciones si quiere el servicio.
R: Hace que el lenguaje sea más claro para que las personas sean conscientes de lo que están aceptando y se eviten los consentimientos en bloque. El consentimiento debe ser granular, de tal manera que los datos no se usen para finalidades que el cliente no ha consentido, y ello sin perder ventajas en el servicio o producto.
P: ¿Y cómo ha afectado a las empresas? ¿Han cambiado la forma en la que recogen los datos, los tratan o los ceden a terceros?
R: Hay mayores obligaciones para que las empresas hagan las cosas correctamente. El tratamiento de datos personales está en prácticamente todos los procesos de las compañías, por tanto, para la adaptación una empresa debe haber revisado todos los procesos en los que intervienen los datos personales para adaptarse.
P: En general, ¿crees que los datos están ahora mejor protegidos que antes?
R: Yo creo que sí. GDPR viene a mejorar los derechos que ya contemplaba la norma anterior, a ampliarlos, y obliga a las compañías a tratar los datos de una manera más protectora y transparente para las personas.
P: ¿Tú crees que los ciudadanos estamos lo suficientemente preocupados por la protección de nuestros datos?
R: Es verdad que falta recorrido en este aspecto y la labor formativa es muy importante. Se ven dos velocidades: las personas que son conocedoras de sus derechos y otras personas que lo ignoran por completo. Tenemos que ser conscientes de la importancia de proteger nuestros datos. La juventud, además, está acostumbrada a exponer su vida en las redes sociales, con lo cual, en muchos casos no son conscientes de las consecuencias futuras que pueden tener.
Tenemos que ser conscientes de la importancia de proteger nuestros datos. La juventud, además, está acostumbrada a exponer su vida en las redes sociales
P: Eso te iba a preguntar, ¿cómo se puede concienciar a las personas? Porque BBVA está haciendo una labor formativa, pero no todas las empresas actúan igual.
R: Yo creo que es algo mucho más amplio. Como es un derecho fundamental que afecta a todas las personas, no es un desafío empresarial puramente. Tienen que intervenir los organismos públicos. La protección de los datos debería ser una asignatura obligatoria en los colegios. La Asociación Profesional Española de Privacidad intenta que sea parte esencial en la formación y en la educación. Evidentemente, no lo ha conseguido por ahora, pero sí promueven acciones formativas en colegios e institutos.