Creo que mi fama de cocinillas está empezando a precederme. Quiero pensar que es por eso, por lo que mucha gente durante este último mes me pregunta por la receta de cómo abordar el Reglamento General de Protección de Datos (RGPD). Podían simplemente decir «y tú como lo ves», «cuál es tu opinión», «qué nos recomiendas»… pero no, preguntan por «recetas». ¡Está claro que es una indirecta para venir a desayunar al despacho!
Bromas aparte, apresurarse y afrontar ya una adaptación total a la nueva norma puede parecer, desde luego, muy loable, pero a mi modo de ver resulta inútil e ineficaz, al menos en estos momentos. A pesar de que el RGPD entró en vigor el pasado 25 de mayo, no será de aplicación hasta el 25 de mayo de 2018, lo que da un cierto margen para poder realizar todos los procesos de adaptación. Primero, porque se necesitará tiempo para migrar los tratamientos de una norma a la otra. Segundo, porque ese tiempo también es necesario para que el regulador y el legislador aclaren, interpreten y definan numerosas cuestiones bastante importantes: la legitimidad para el tratamiento de datos a partir de 2018, los criterios de ponderación para el interés legítimo, las notificaciones de brechas de seguridad, la concreción del estatuto del Delegado de Protección de Datos (DPO)… Todo ello, hace que ahora mismo sea tremendamente complicado abordar este cambio con seguridad jurídica.
Además, conviene recordar que el RGPD no derogará, hasta el día 25 de mayo de 2018, la actual Directiva 95/46/CE, transpuesta a nuestro ordenamiento por la Ley Orgánica de Protección de Datos y su reglamento de desarrollo (RD 1720/2007). ¡Pero ojo! No hará lo propio con las normas nacionales, por lo que, al menos durante un tiempo, tendremos que convivir con un Reglamento Europeo de aplicación directa en España y con la LOPD, en tanto en cuanto no se contradigan… Todo un reto, que esperamos ayude a abordar la Comisión General de Codificación, que está ya estudiando qué leyes y normativas se ven afectadas por el RGPD, y en su caso podrá proponer al legislador su derogación o modificación.
Como ya es bien sabido, el RGPD no establece obligaciones de registrar los ficheros en las autoridades de control, no define medidas de seguridad a aplicar en los tratamientos, no exige a recogerlas en un documento de seguridad ni las clasifica en función de niveles (básico, medio o alto), ni impone la realización auditorías bienales… Se centra en que se garanticen resultados de protección adecuada a la naturaleza del tratamiento, poniendo al interesado en el centro del sistema. Pero, como decía, al menos durante estos dos años conviviremos con la normativa nacional que sí obliga a todas esas cosas. Durante este periodo resultará clave conjugar el viejo modelo de protección de datos con el nuevo, primero para evitar desviaciones normativas y sus consecuencias de sobra conocidas por todos,y segundo para asegurar que los cambios en las políticas que se vayan introduciendo en este tiempo sirvan a partir de 2018, haciendo que las piezas del RGPD encajen. Aplicar criterios de prudencia y diligencia son sinónimos de madurez y fortaleza frente a los cambios.
Las empresas deberán adaptarse no sólo a una nueva norma, sino a algo más profundo: a un cambio en la forma de hacer las cosas, una modificación de procesos, de recursos y, todavía más importante, de mentalidad o de filosofía, porque el espíritu del legislador europeo en este Reglamento es ése: un cambio de concepto orientado a la cultura de la protección de datos a todos los niveles y a la responsabilidad proactiva (la famosa accountability). Un valor añadido, real y tangible, para las empresas que la asuman como piedra angular de sus negocios o procesos. Y es que el camino que queda hasta mayo de 2018 es corto y será sin lugar a dudas intenso. ¡Y no se puede dejar para el último momento!
Para esta planificación estratégica será clave contar con un adecuado profesional de la privacidad. Como siempre he dicho, los profesionales españoles estamos mejor preparados que otros compañeros europeos para asumir la nueva forma de asesoramiento que requerirá el RGPD. Sobre todo gracias, entre otras cosas, a que la norma europea bebe (en gran medida) de nuestra legislación nacional, al acervo de conocimiento adquirido gracias a la labor jurisprudencial de la Audiencia Nacional y del Tribunal Supremo en la materia, y por supuesto a la ingente actividad de la AEPD. También, no podemos obviar que llevamos años trabajando y asesorando sobre la privacy by design y by default, o de los Privacy Impact Assesments, por lo que estos nuevos conceptos forman parte de nuestro asesoramiento natural. Una correcta estrategia orientada al cambio resultará capital para lograr adecuadamente la adaptación.
Así las cosas, la calma, la prudencia y la planificación son parte de la receta de cómo abordar con entereza los retos e intensa labor a la que nos enfrentaremos durante los próximos años. Eso sí, comprendan que, como buen cocinero, ¡uno no puede desvelar de golpe todos los ingredientes!