Si nos visitan con asiduidad, habrán notado que nuestro ritmo de publicación ha decrecido sustancialmente de un tiempo a esta parte. El motivo tiene cuatro letras: RGPD (o GDPR, como ustedes prefieran), el nuevo Reglamento de protección de datos de la Unión Europea que comenzará a aplicarse en unas semanas. Llevamos meses asesorando a empresas sobre cómo amoldar esta normativa a su negocio, y podemos confirmarles que el proceso es trabajoso (de ahí la desatención que sufre este blog) y no está exento de complejidades.
Como ya les contamos en otras ocasiones, para cumplir con este Reglamento es necesario adoptar un enfoque muy diferente al que nos tenía acostumbrados la LOPD, la Ley que todavía regula esta materia en nuestro país. Expresiones como «registrar los ficheros», «pasar la auditoría obligatoria» o «cumplir las medidas de seguridad de nivel básico» acabarán desapareciendo de nuestro vocabulario, y serán sustuidas por figuras como el «análisis de riesgos», la «protección de datos desde el diseño» o la «responsabilidad activa» en los tratamientos. Y no son cambios meramente terminológicos: el marco anterior, tan formalista y burocrático, ha evolucionado hacia un modelo dinámico, basado en procesos y que requiere de una permanente actualización.
La consecuencia más evidente de esta evolución se aprecia a la hora de implementar la normativa. Un consejo: si alguien les ofrece una adecuación rápida, sencilla y sin esfuerzo al RGPD, desconfíen (y mucho), porque cumplir con sus requerimientos es laborioso, exige implicación y puede conllevar cambios relevantes en el negocio, tanto operativos como estratégicos. Entre las muchas novedades que introduce, permítanme destacar tres, por su relevancia:
- La responsabilidad de los prestadores de servicios (los llamados «encargados del tratamiento») es mucho más acusada. Con la LOPD, para evitar una sanción les bastaba con ceñirse a las instrucciones recibidas e implantar ciertas medidas de seguridad. Ahora, además han de poder demostrar en todo momento que su labor es conforme a la nueva normativa: en caso contrario, se exponen a una sanción tanto ellos como quienes les elijan como proveedores.
- El concepto de dato personal se ha expandido: hasta ahora, abarcaba cualquier información referida a una persona concreta, que pudiésemos identificar sin esfuerzos desproporcionados. A partir de mayo, los IDs únicos que se utilizan en marketing digital para inferir los gustos y preferencias de los usuarios pasan a ser considerados datos personales, aunque no desvelen la identidad concreta del sujeto en cuestión; lo que afecta de lleno a las herramientas de marketing digital y publicidad online, y a quienes las utilizan (apps, sitios web…).
- Se difuminan los niveles de seguridad que fijaba nuestra normativa, basados en la tipología de datos y en la identidad del responsable de su tratamiento. Las medidas a adoptar pasan a ser discrecionales, en función del riesgo que el tratamiento pueda causar a los derechos y libertades de las personas; y su intensidad dependerá de criterios adicionales, como el volumen de información manejado, el período de conservación previsto o el número de personas con acceso a los datos, por poner tres ejemplos.
Si destacamos estas tres novedades es porque sus consecuencias estratégicas son más que notables: obligan a tomar decisiones que pueden abarcar desde el cambio de proveedores hasta la modificación de los procesos de recogida y utilización de datos, y que tienen implicaciones económicas y tecnológicas, además de jurídicas. No se trata, como ven, de rellenar unos documentos y dejarlos en una estantería, acumulando polvo.
Si se animan a implementar la norma por sí mismos en su organización, les mandamos mucho ánimo y les recomendamos visitar la web de la Agencia Española de Protección de Datos, donde pueden encontrar guías y recursos gratuitos para abordar algunos de los aspectos críticos del RGPD. Y si optan por buscar asesoramiento externo, sea el nuestro o el de otra empresa especializada, asegúrense de que la oferta que les presentan aporte soluciones realistas, que introduzcan la norma en los procedimientos habituales de la empresa de forma efectiva. En caso contrario, la labor realizada acabará, con suerte, en una carpeta perdida en un ordenador, sin proteger ni los datos ni a su empresa. Y para eso, mejor no gastar su dinero, ¿no creen?