Recta final para el Reglamento General de Protección de Datos
(Artículo publicado en la revista EMPRESARIO de la CEOE, en su número 3 (Primavera 2018)Puedes acceder a la edición impresa del artículo pinchando aquí.
Recta final para el RGPD
Se acaba el tiempo de las conjeturas, se acaba el tiempo
de las cábalas, se acaba el tiempo de pensar en cómo lo hacemos, se acaba el
tiempo. La fecha del 25 de mayo de 2018 está tan cercana que ya la vemos en la
misma página del calendario que el día en el que estamos. Y sí, esa es la
fecha, ese es el día en el que será obligatorio cumplir el Reglamento General
de Protección de Datos de la Unión Europea (RGPD).
No hay prórrogas
¿Pero no hay prórrogas? ¿No falta una ley que aplique
todo esto en España y que nos dé algo más de tiempo? No. Y también no. El RGPD
es un tipo de norma europea que se caracteriza, precisamente, porque tiene
aplicación directa en todos los estados miembros, con el mismo rango que las
leyes emanadas de los parlamentos nacionales. Surten efectos plenos sin
necesidad de que se dicten normas nacionales. Es más, un reglamento europeo
relega la aplicación de cualquier norma nacional que contravenga lo dispuesto
en él.
Reglamento descafeinado
Es este un caso, sin embargo, en que la complejidad
jurídica, política e incluso sociológica de la materia, ha hecho que el RGPD
sea un reglamento descafeinado en ciertos aspectos, porque el propio texto de
la norma señala expresamente que determinados puntos muy concretos sean
decididos de forma definitiva por los estados miembros. Y esa es la razón de
que tenga que existir también una nueva ley nacional de protección de datos en
cada uno de los estados miembros. Pero tenemos que ver esa ley nacional como un
“anexo” al RGPD, y no como una norma de desarrollo o transposición. Lo que
aplica es el RGPD y, completando el esquema,
la ley nacional. En España, por ese motivo, tendremos una nueva LOPD, que se
llamará igual que la de 1999, pero el único parecido entre ambas normas es
única y exclusivamente el nombre. Por cierto que la ley española todavía
tardará algún tiempo en reflejarse en las páginas del BOE, porque su
tramitación parlamentaria está en una fase todavía muy incipiente. Precisamente
en estos días se han presentado las 369 enmiendas al proyecto de ley que se
tramita en el Congreso de los Diputados.
De obligado cumplimiento
Bueno y, llegados aquí, ¿qué tengo que hacer? Cumplir.
Unos cumplirán porque están convencidos de que el respeto de un derecho
fundamental como la protección de datos personales es un valor en sí mismo.
Otros cumplirán para evitar sanciones económicas potencialmente muy cuantiosas.
Y otros, cada vez más, cumplirán porque el daño reputacional de no hacerlo es
inasumible. Estamos viviendo episodios en estas semanas que son ejemplos de
libro de cómo las cuestiones relacionadas con la protección (o desprotección)
de los datos personales afecta a la reputación de una compañía. Y, no seamos ciegos,
la reputación es, a fin de cuentas, el valor de la acción, pero no sólo de la
compañía directamente afectada, sino de todas las que se le parecen o hacen
cosas que, a vista del consumidor, pueden estar relacionadas. Es cierto que hay
cierto componente de falsa ingenuidad en todo ello, pero así funciona el
mercado, y me remito a la infinidad de estudios sociológicos que explican los
vaivenes de las cotizaciones producidos como consecuencia, a veces, de hechos
coyunturales que se producen en el momento oportuno y en el lugar adecuado.
Profesionales cualificados
Hay que cumplir el 25 de mayo de 2018, decía. Y cumplir
una norma como el RGPD no es sencillo y conlleva costes. Me refiero a Cumplir,
con mayúscula, no a disponer de un papel firmado por un desaprensivo a quien no
le importa empujar a empresas al vacío de enormes riesgos con tal de conseguir
unas monedas. Cumplir como es debido requiere conocimientos especializados que,
en muchos sectores, implican la especial obligación de designar a un Delegado
de Protección de Datos (DPD). El DPD es un profesional cualificado con
experiencia y conocimientos profundos en materia de protección de datos cuyas
funciones se resumen en asesorar y supervisar a la organización en esta
materia. Nuevo campo de especialización profesional para miles de perfiles
jurídico-técnicos.
Cambios significativos
Cumplir implica cambios significativos que van mucho,
mucho más allá de simplemente adaptar unas cláusulas en un formulario. De
hecho, las cláusulas son lo último en adaptarse, porque el contenido de la
cláusula adaptada a RGPD requiere incorporar toda una serie de información y
partir de unas decisiones que es preciso preparar y adoptar previamente.
Seamos realistas, adaptar una organización para cumplir
el RGPD es un proceso que lleva meses. Es largo, costoso y complejo. Pero hay
que hacerlo, y la buena noticia es que tiene premio. Por supuesto, el premio es
no tener sanciones, mantener (o incluso aumentar) la reputación y tener la
conciencia tranquila. Pero hay premio adicional, el bonus, el número
complementario, el Jackpot. Ese premio es la activación del dato como valor en
el negocio. Un tratamiento correcto de los datos, que cumpla la normativa y
respete los derechos de los interesados se convierte, automáticamente, en un
activo de la compañía sobre el que construir y cimentar negocios.
Cuenta atrás
No es una quimera ni un espejismo. Es una realidad y casi una necesidad
encarar el tratamiento de datos personales como la gestión de un activo y no
sólo como el control de un riesgo. Avanzar por la senda de la protección de los
datos como la protección de un activo es un camino de futuro en cualquier
compañía. Pero, por supuesto, esto sólo es posible si se cumple la norma.
Estamos en la recta final. Se acaba el tiempo. El RGPD ya está aquí.