Celebramos este 28 de enero, el día Europeo de la Protección de Datos, con la
mira puesta en el Reglamento de la UE, General de protección de datos, que, si
todo sale según lo previsto, se aprobará dentro de este primer cuatrimestre. Un
texto que no sólo ofrece una nueva visión, una nueva forma de hacer las cosas y
nuevas obligaciones, sino también múltiples oportunidades.
El largo recorrido de la tramitación y negociación de lo que durante los últimos
cuatro años hemos llamado “el futuro Reglamento” llega a su fin, y comenzará su
vida como norma obligatoria para los países miembros de la Unión Europea, sus
ciudadanos y para las empresas aquí asentadas, y, también, a las que no lo estén
(aunque el tema de la aplicación del ámbito territorial da para un artículo
aparte).
Desde 2012 hemos podido analizar varias versiones de la propuesta de Reglamento.
En cada una aparecían y desaparecían conceptos y obligaciones o sufrían
continuos cambios y modificaciones, unas veces leves y otras importantes. Algo
que, he de reconocer, me ha provocado algún dolor de cabeza, por el batiburrillo
de versiones, colorines y fechas de cada texto. Todavía no se puede hablar con
una certeza absoluta sobre el texto definitivo, pero sí sabemos que estamos muy
cerca y con el tiro más bien centrado, a falta de la traducción final.
Lo que sí podemos afirmar es que este Reglamento viene a adecuar y modernizar la
legislación europea –y nacional –, a los tiempos actuales, a la tecnología de
hoy y a definir nuevos escenarios hasta ahora no contemplados en una normativa
que ha formado parte de nuestra vida y nuestro trabajo profesional desde la
aprobación de la Directiva 95/46/CE (del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos), así como de la Ley Orgánica 15/1999 de Protección de Datos en nuestro
concreto ámbito nacional.
El escenario de los últimos veinte años, marcados profundamente por la
innovación tecnológica, por la búsqueda de la sencillez en la realización de
procesos, han hecho que estemos en un mundo más conectado, más digital, subido
en la nube, donde los desarrollos de software, la recogida y flujo de datos, las
relaciones entre empresas para el tratamiento de éstos, las transferencias
internacionales, las subcontrataciones... se hayan multiplicado y evolucionado
de tal forma que a veces la normativa no nos sirviera de mucho, debiendo acudir
a la jurisprudencia europea que en estos últimos años ha sido bastante prolífica
e importante (derecho al olvido o safe harbor por citar algunas), que ha ido
parcheando y remendando las carencias de la legislación europea.
Ahora tendremos un Reglamento europeo nuevo. Como toda novedad, la expectación
es alta y el plazo de adaptación corto: dos años para que las los responsables
de ficheros y tratamientos, y para los encargados y subencargados de éstos,
tengan margen de maniobra para esa adecuación. No obstante, la normativa es
novedosa casi principalmente por fecha de nacimiento, porque nace impregnada de
conceptos y criterios ya de sobra conocidos y aplicados en España desde hace
tiempo.
Gracias a nuestra normativa nacional, en nuestro país estamos de sobra
preparados para afrontar este cambio. Por suerte, nuestras empresas son
conocedoras de la importancia de la protección de datos, y cada vez son más
responsables y diligentes en el cumplimiento normativo e implementación en
medidas de control organizativo y técnico. Y más conscientes también del valor
añadido que esto genera.
También y por suerte, los profesionales españoles, por lo general, estamos
sobradamente cualificados para acometer las adaptaciones que nos serán
requeridas, básicamente porque lo venimos haciendo desde hace muchos años. Y
ello es de agradecer a iniciativas formativas específicas como la de la
Asociación Profesional Española de Privacidad. No nos hemos quedado parados
haciendo documentos de seguridad y adaptaciones de protección de datos al estilo
do it yourself y del copiar y pegar, sino que hemos estado a la cabeza del
análisis de riesgos en temas de protección de datos, en estudios de impacto en
privacidad (Privacy Impact Assesment), participando y promoviendo el diseño
basado en la privacidad (Privacy by Design) y el cumplimiento responsable (Accountability)...
Y esto es algo que el mercado reclama y sabe reconocer.
Como no puede ser de otra forma, el Reglamento también entrañará otras novedades
como la obligación de notificar las violaciones de seguridad, la figura en
algunos casos obligatoria del Data Privacy Officer (DPO), los cambios en la edad
de menores de edad, o un ya temido régimen sancionador. Sin embargo, analizar el
texto en clave de obligaciones y sanciones es un error cortoplacista, pues
ceñirnos a cumplir algo por obligación puede llevar a la dejadez y la desidia,
algo que al final suele acabar pasando factura.
En cambio, centrarnos en las oportunidades de negocio para las empresas y el
valor añadido que ello genera a sus clientes y usuarios, sí es un reto
alentador. Cuando las empresas son conscientes del valor de la protección de
datos y cuentan con un profesional de la privacidad con el conocimiento que nos
ha requerido nuestra norma nacional y la experiencia que nos ha exigido el
mercado, nos encontramos, sin lugar a dudas, ante casos de reconocido éxito. Y,
aunque con retos aplicativos por delante, así seguirá siendo con el nuevo
Reglamento. |