El Margen de la Ley :: El Blog de Audens
Audens >
Blog >
Protección de Datos >
RGPD… en teoría

RGPD… en teoría

Por si viven en un mundo paralelo y no se habían enterado todavía, el 25 de mayo de 2018 será de aplicación el Reglamento General de Protección de Datos (RGPD), una norma que cambia por completo el cumplimiento normativo en privacidad y seguridad en el seno de los responsables y encargados de tratar datos. El llamado principio de responsabilidad activa (accountability), exigido a quienes tratan datos personales, hace que la protección de los derechos de las personas pase a estar en el centro de la toma de decisiones, y les obliga a velar de forma diligente por su respeto en todos los planos de actuación. Esa diligencia será la que, en teoría, pueda salvarles de situaciones incómodas.

También este mayo, la Directiva 95/46/CE quedará derogada, y dejarán de ser aplicables gran parte de nuestra actual LOPD y su reglamento de desarrollo, con los que nos sentíamos tan cómodos al contar con listados de medidas de seguridad categorizados por niveles (ya saben: básico, medio y alto) que nos hacían la vida más fácil. Ahora, en su lugar, tendremos una nueva Ley Orgánica de Protección de Datos (actualmente en tramitación parlamentaria) que vendrá a matizar algunos puntos de la norma europea; pero olvídense de registrar ficheros en la AEPD y de tener documentos de seguridad estáticos cogiendo polvo en una estantería. Este año, eso también se acaba… al menos en teoría, porque de esto último no estoy tan seguro.

La nueva normativa es sustancialmente más compleja que la anterior, quizás no tanto por su contenido (muchas de sus novedades ya las conocíamos por el Grupo del Artículo 29, futuro Comité Europeo de Protección de Datos) como por la forma en que debe aplicarse. Como ya veníamos advirtiendo, sus implicaciones legales y operativas son abundantes: por ejemplo, en la recogida de datos, en cuanto a información y legitimidad para su posterior tratamiento. Cambian también aspectos relativos a la atención de derechos de las personas (que se ven ampliados); se añaden nuevos requisitos a las relaciones entre responsables, encargados y subencargados; se crea la obligación implícita de contar con procedimientos sobre análisis de riesgos, evaluaciones de impacto, privacidad desde el diseño y por defecto o gestión de brechas de seguridad… y ya, si se debe nombrar un Delegado de Protección de Datos, ¡no digo nada! Y todo ello sin olvidar su impresionante régimen sancionador, con multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior (algo que suena más a responsabilidad pasiva o liability). Eso sí, las autoridades de control contarán con un amplio margen para ponderar las sanciones.

Quedan solo unas semanas para la aplicación del RGPD, y se presentan frenéticas. Sobre todo, en aquellas empresas que basan en el consentimiento tácito o implícito la recogida de datos: otro de los aspectos que desaparecen con la nueva norma. A partir de ahora, la legitimidad para usar datos basados en el consentimiento del usuario debe responder, como mínimo, a una clara acción afirmativa por parte del usuario; y además, los formularios con casillas premarcadas (por si todavía había alguna duda) y las políticas de privacidad escondidas e ininteligibles, en teoría, también habrán de pasar a mejor vida.

Si bien es cierto que nos han dado dos años de margen para ir adaptándonos, aunque no los hayamos aprovechado, el 25 de mayo tampoco se acaba el mundo… cuando menos, en teoría: por un lado, todavía queda tiempo para abordar las cuestiones más urgentes e importantes, y por otro, un proceso de cambio tan profundo como este no puede afrontarse de la noche a la mañana. Hay aspectos que requieren algo más de tiempo, especialmente cuando las modificaciones afectan a la organización interna; pero siempre que se vaya actuando con diligencia mientras se realiza la transformación, no debería haber problemas… en teoría. ¿Y si se hace después de mayo? Pues como buen gallego responderé que “depende” (del tratamiento de datos que haga, del grado de cumplimiento previo… del riesgo, al fin y al cabo).

Pero, en teoría, hasta el comunismo funciona; y a pesar de que este año, sobre el papel, todo cambia, muchas cosas no lo harán (al menos en el corto plazo). En la práctica, este  proceso de adaptación al cambio regulatorio se tendrá que hacer: con mayor o menor alcance, pero se hará. Unos, por convicción, al haber comprendido que, más que una carga, es una oportunidad de generar valor añadido; y otros, lamentablemente, llevados por el miedo a ser sancionados. En cualquier caso, este año ya está cambiando todo… en teoría.

¿Te ha resultado interesante?
Estamos especializados en adecuar la operativa de las empresas al nuevo Reglamento General de Protección de Datos de la Unión Europea.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales y nuestra política de privacidad.