Otra (severa) vuelta de tuerca a la protección de datos

El nuevo Reglamento General de Protección de Datos (RGPD) es una realidad prácticamente inminente. Su aplicación comenzará a partir de mayo de 2018, por lo que es momento de recordar lo que supone su implantación: un paso importante para mejorar los derechos individuales en la Unión Europea al armonizar la legislación en materia de protección de datos y vida privada en todos los países de la UE.

La leyes de protección de datos existen desde los años setenta (la primera ley fue una ley regional en Alemania en el año 1970, ¡hace más de 45 años! Yo ni siquiera había nacido…), y la normativa europea actual tiene más de 20 años, se aprobó cuando internet estaba todavía al alcance de muy pocas personas. Desde entonces han aparecido Facebook, Google, Instagram, Periscope, Twitter, SnapChat, los teléfonos móviles, el cloud, el big data, el smart data, una actualización era absolutamente necesaria: vivimos en una era completamente tecnológica e inmersa en el medio digital.

El nuevo RGPD consolida los principios existentes de las normas anteriores, los completa con, por primera vez, obligaciones directas a los encargados de tratamiento (y no solo a los responsables de los ficheros), da más poder a los sujetos de datos (clientes y empleados), para que el ejercicio de sus derechos pueda ser realmente efectivo, y fija importantes multas en caso de incumplimiento. El periodo de dos años entre la aprobación de la ley en 2016 y su aplicación ha supuesto una extensa discusión pública y un tiempo sobre cómo adaptar de manera eficaz las legislaciones nacionales y los procesos de las empresas al nuevo reglamento, pero este periodo ya toca a su fin.

Así que es tiempo de comenzar a hacer los deberes (¡si no se ha empezado ya!) y, para ello, la pregunta clave es: ¿cómo afectará el nuevo RGPD a las empresas? Las empresas tendrán que ser muy transparentes en tres cosas: qué datos recopilan, cómo los usan y cómo los protegen, y tendrán que asegurarse que los usuarios (ciudadanos, candidatos, empleados –interesado es el término legal–) puedan ejercer sus derechos eficazmente. Por eso, tendrán que crear o subcontratar un departamento de protección de datos, responsable de la conformidad y de la puesta en práctica de los principios de protección de datos desde el diseño y por defecto (artículo 25). Para ello, el nuevo reglamento introduce un nuevo perfil en las empresas: el DPO (delegado de protección de datos, artículos 37, 38 y 39), un rol que en la actualidad pocas compañías tienen. En Cornerstone se creó dicho puesto ya en 2016, al aprobarse la nueva ley.

El DPO será responsable de velar por el cumplimiento de la RGPD, informará sobre las obligaciones de la empresa, cuándo y cómo debe realizarse una evaluación del impacto de la privacidad, será el contacto ante las autoridades nacionales de protección de datos, etc., y lógicamente, la persona adecuada para diseñar y pilotar los proyectos de adaptación a la ley. La incorporación de esta persona será clave para cumplir de forma segura el nuevo reglamento, pero también es cierto que no todas las empresas podrán permitirse incorporar este perfil, por lo que la propia ley abre la puerta para que se pueda recurrir a un DPO externo.

Aunque Europa es el líder mundial en protección de datos personales, en particular gracias a este nuevo reglamento, es necesario señalar que, según IT Community Spiceworks, solo el 36% de los profesionales europeos que forma parte de esta área está perfectamente informado sobre el RGPD y el impacto que este tendrá en sus compañías. Aun así, la mayoría de las empresas ya son conscientes de los riesgos que conlleva una mala protección, como pueden ser las multas significativas que establece el reglamento sobre los individuos y las empresas que no se ajusten a la ley: hasta 20 millones de euros o el 4% del volumen de negocios mundial del ejercicio anterior de un negocio, dependiendo de cuál sea mayor. Si pensamos en lo que puede suponer esto para empresas más vulnerables, por ejemplo, las pymes, nos enfrentamos a posibles cierres de compañías; sin contar con el perjuicio de imagen y reputación frente a sus empleados y clientes de la más mínima multa o problema de fuga de datos.

Y en España, ¿están realmente capacitadas las empresas españolas para la implementación de esta nueva normativa? El punto de partida es muy positivo porque la ley española (a diferencia de otros países europeos), y en particular el decreto de desarrollo, incorporaban una serie de obligaciones de seguridad y gestión en función del nivel de datos, aportando tanto la concienciación como la legislación necesaria para hacer las cosas de manera correcta. En cambio –y a pesar de ello–, pocas son las compañías que realmente han iniciado ya las acciones necesarias para estar preparados frente al nuevo RGPD, y esto es un problema que parte de una mala base, puesto que si las empresas no están preparadas para el nuevo RGPD probablemente tampoco lo estaban para cumplir con la legislación actual.

Por eso es importante prepararse en el tiempo que queda para la aplicación del nuevo reglamento, que será positivo para la protección de datos dentro de las empresas y a su vez apoyará también el aumento de confianza por parte de los clientes, usuarios y empleados, tanto actuales como futuros. Y para poder prepararse adecuadamente, recuerden: qué datos, para qué (y cómo) se van a utilizar y cómo los ciudadanos van a poder ejercer sus derechos.

José Alberto Rodríguez Ruiz es ‘Data protection officer’ de Cornerstone OnDemand