Parece mentira que hayan pasado diez años desde la constitución de la Asociación Profesional Española de Privacidad (APEP). Los que participamos en su gestación recordamos con cariño el proceso de aglutinación de voluntades que desembocó en el nacimiento de una organización que, en la actualidad, representa a cerca de un millar de profesionales de la protección de datos en nuestro país. Una década después, estos profesionales han querido delegar en mí la enorme responsabilidad de presidir este gran proyecto durante los próximos tres años, junto con un equipo maravilloso que dedica su tiempo y esfuerzo a la tarea de poner en valor la profesión. A todos ellos, ¡gracias!
Si de esta larga década tuviese que destacar un momento clave, que haya marcado un antes y un después en nuestra labor, sin lugar a dudas sería la entrada en aplicación del Reglamento General de Protección de Datos, hace ya doce meses. Hoy, con un año de por medio, podemos mirar atrás con perspectiva y hacer balance de sus primeros coletazos, que recordamos con una mezcla de emociones: justo por estas fechas celebrábamos que el 25 de mayo no se había terminado el mundo, y que habíamos sobrevivido a la vorágine de su implementación; y de aquel estrés, hemos vuelto a una relativa calma… que podríamos calificar como falsa.
De entrada el RGPD trajo consigo un cúmulo de indefiniciones y un halo de inseguridad, que todavía hoy nos hacen recurrir al olvidado arte de la interpretación jurídica. Comenzó a aplicarse sin una normativa local que lo adaptase a nuestro ordenamiento, más allá de la antigua LOPD y su reglamento de desarrollo. Por diversos motivos, la nueva y esperada Ley Orgánica de Protección de Datos no llegó a tiempo: no fue hasta el 6 de diciembre de 2018 cuando se publicó la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que aporta algunos criterios de extraordinaria relevancia, como la necesidad de nombrar un delegado de protección de datos (DPD), y regula el procedimiento sancionador.
También han sido muy positivas las guías de la Agencia Española de Protección de Datos y las directrices del Grupo del Artículo 29, que aportaron cierta dosis interpretativa: aún estamos lejos de lograr la deseada seguridad jurídica, pero se han dado pasos importantes, en especial en lo relativo al nombramiento de DPDs o a la realización de evaluaciones de impacto. Pero como reconoce la Comisión, este esfuerzo es todavía insuficiente: de ahí que inste a los Estados miembros a «crear un entorno predecible y evitar una carga innecesaria para las partes interesadas, sobre todo las pymes«. Quizás está alertando sobre una futura gota fría que llegará en forma de procedimientos sancionadores (atención a España, donde se ha producido un incremento de reclamaciones superior al 33%, según la última memoria de la AEPD); o sobre el previsible lío que se formará en aquellos los procedimientos transfronterizos, donde intervienen varias autoridades de control con diferentes formas de imponer o graduar sanciones… Realmente, lo de «entorno predecible» suena a pronóstico meteorológico que recomienda el uso de bufanda y paraguas, mientras recorremos nuestro camino cargando con los bártulos de la inseguridad jurídica.
Pese a ello, la Comisión Europea valora positivamente este aniversario del RGPD, si bien reconoce que la puesta en práctica de la norma es «un proceso dinámico que no se produce de la noche a la mañana«. Y es un camino demasiado largo como para ir cargando con ese peso, aunque poco a poco vayamos obteniendo mapas o guías para el intenso camino. Tendremos que esperar que el Comité Europeo de Protección de Datos unifique criterios, lo que sin duda ayudará a esclarecer muchas cuestiones. Sin embargo, pasarán años hasta poder tener nueva jurisprudencia referente al RGPD que consolide ese recorrido, y no tener que depender de pronósticos, sino de pronunciamientos sólidos.
Entretanto, será crucial reconducir a quienes no llegaron a tiempo para, al menos, asumir las partes del RGPD más claras, urgentes y perentorias; y que ahora arrastran una herencia difícil de gestionar, en especial con aquellas bases de datos que, hoy por hoy, son potencialmente inservibles. Otros todavía siguen con la idea de que esto de la protección de datos no va con ellos: esa calma inconsciente es la más peligrosa.
Pero estoy seguro que en un par de cumpleaños más podremos tener una mayor certeza para que (aunque sea de vez en cuando), poder salir chanclas y camiseta sin necesidad de preocuparnos por un corte de digestión de RGPD. ¡Por lo menos hasta que nazca su primo, el futuro Reglamento e-Privacy!
Los CVs, la transparencia y la AEPD
Dos lecciones de la AEPD
Cuenta atrás para las cookies
La revolución de las cookies