¿Qué es el Reglamento General de Protección de Datos (RGPD) y cómo nos afecta profesionalmente?
Y este momento es en el que el lector igual se pregunta cómo le afecta profesionalmente (doy por sentado que todos somos conscientes de la implicación que tiene en nuestra faceta de titulares de nuestros datos personales). Pues bien, es muy probable que, aunque no siempre reparemos en ello, de una u otra forma en nuestro trabajo siempre tratemos datos personales. Generalmente bajo la supervisión y los procedimientos marcados por otros dentro de nuestra empresa y, a veces, de una forma directa en nuestro desempeño diario.
Bien por una razón, por la otra o por simple curiosidad, os invito a conocer de forma muy general algunas de las novedades interesantes que se nos plantean en una norma que será de plena aplicación en mayo de 2018 y que va a suponer innumerables cambios.
¿Qué supone el RGPD?
Principalmente supone, al día de escribir estas líneas, una gran indeterminación. Hay multitud de conceptos por desarrollar (lo que en el mundo jurídico llamamos “conceptos jurídicos indeterminados”) y la certeza de tener que realizar muchos cambios dentro de las compañías.
Pero, ¿en qué consisten esos cambios?
El primero de ellos es un cambio de mentalidad. Pasamos de una norma en la que se trata de “no incumplir” (en palabras de la Agencia Española de Protección de Datos) a la constatación, veremos si acertada o no, de haber alcanzado las compañías que tratan datos personales de sus clientes una cierta madurez que hace que el RGPD se base en el autoexamen de la responsabilidad que conlleva tratar datos personales y en el análisis del riesgo que conlleva ese tratamiento. En definitiva, el concepto anglosajón de “accountability” que, como esto es solo una aproximación general, no desarrollaremos mucho. Solo diremos que esa responsabilidad de la que hablamos es la que deberá presidir cada una de las medidas que adopte cada compañía.
Uno de los puntos más importantes en el RGPD es que este se aplica también al tratamiento de datos fuera de la Unión Europea (lo que cierra, al menos teóricamente, la vía de escape a la aplicación de la anterior legislación que usaban algunas compañías, generalmente americanas).
Dejemos de lado los aspectos teóricos. Seguro que en alguna ocasión han escuchado lo que se llama en nuestra querida Ley Orgánica de Protección de Datos (LOPD) el acrónimo ARCO, que se corresponde con los derechos básicos que los titulares de datos teníamos: Acceso, rectificación, cancelación y oposición.
Pues bien, ahora no desaparecen sino que se amplían y cambian de nombre. Así aparecen los derechos de: acceso, transparencia, información, portabilidad, rectificación, limitación del tratamiento, oposición y, como no, el derecho al olvido (o como se ha querido llamar, derecho de supresión).
Algún día les invitaré a que entremos a desarrollarlos. Sólo adelanto que más de uno de esos derechos va a suponer problemas en su ejercicio y su tramitación.
Por otra parte, las medidas de seguridad que en las empresas ya nos sabíamos de memoria (incluso fuera de los departamentos especializados) desaparecen como tal. Quizá hayan escuchado alguna vez en el ámbito de las organizaciones eso de “para tratar estos datos necesitamos tener implantadas medidas de seguridad de nivel alto”. Bien, esas medidas de seguridad de nivel básico, medio y alto dejan de existir y dan paso a las medidas adecuadas a aplicar a juicio de quien trata los datos y que sean acordes al tipo de datos personales que se tratan.
¿Ven ahora esa responsabilidad y análisis de riesgo de la que hablaba antes? ¿Y esos conceptos jurídicos indeterminados?
Dentro de ese ámbito de responsabilidades que deben las empresas autoimponerse está uno de mis puntos favoritos:
Las Evaluaciones de Impacto de Protección de Datos, o PIA por sus siglas en inglés. La evaluación de impacto es el estudio que deberá realizar con carácter previo quien trate datos personales, teniendo que evaluar los riesgos inherentes a ese tratamiento según el tipo de datos que sean -no es lo mismo tratar nombre y apellidos que nombre, apellidos y orientaciones políticas-. Esto es algo que en muchas compañías, al menos en grandes organizaciones, ya se venía realizando desde hace tiempo. La novedad es que ahora habrá de llevarse un registro de todas esas acciones que se ponen en marcha de cara a demostrar que somos responsables en el tratamiento de los datos de nuestros clientes.
¿De dónde viene el miedo a la aplicación de este nuevo reglamento?
El miedo es solo culpa de la lectura que hacemos: Igual que cuando leemos una sentencia nos vamos directamente a ver qué dice el fallo, cuando leemos una ley de este tipo nos vamos directamente a leer las sanciones. Claro, ahí nos asustamos.
De las infracciones y multas de nuestra LOPD, con sanciones que oscilaban entre los 900€ y los 600.000€, pasamos a multas administrativas de 10.000.000€ o el 2% del volumen de negocio anual o, en otros casos más graves, de 20.000.000€ o una cuantía equivalente al 4% del volumen de negocio anual de las empresas. Y no, las cifras no son erratas.
Y entonces, ¿qué deben hacer las empresas ante el RGPD?
Básicamente trabajar en la línea de “concienciación cultural” que quiere el RGPD: pasar del “cumplir para no pagar multas” al “cumplir porque lo llevamos en nuestro ADN”. En un ambiente tan competitivo como el que vivimos los clientes valoramos cada vez más nuestra privacidad, valoramos saber qué hace nuestro banco y la compañía de seguros con nuestros datos. En este contexto se presenta a las empresas una gran oportunidad de fidelizar a los clientes.
También deberán empezar ya a planificar los cambios que el RGPD supone en los procesos: Los desarrollos informáticos que se tienen que hacer, la manera en que habrá de transmitirse esta nueva cultura dentro de cada organización consiguiendo implicar a las diferentes áreas (créanme, imponerlo quizá no sea la mejor de las estrategias)… Todo lo que se adelante hará mucho más sencilla una adaptación a una normativa que, en muy poco, tendremos entre nosotros.
P.D.: Otro día hablaremos del consentimiento para el tratamiento de nuestros datos y sobre qué base tratarán estos datos personales las empresas. Por hoy quizá ya sea suficiente.