Recta final para el Reglamento General de Protección de Datos

Recta final para el Reglamento General de Protección de Datos

(Artículo publicado en la revista EMPRESARIO de la CEOE, en su número 3 (Primavera 2018)


Puedes acceder a la edición impresa del artículo pinchando aquí.




Recta final para el RGPD

Se acaba el tiempo de las conjeturas, se acaba el tiempo de las cábalas, se acaba el tiempo de pensar en cómo lo hacemos, se acaba el tiempo. La fecha del 25 de mayo de 2018 está tan cercana que ya la vemos en la misma página del calendario que el día en el que estamos. Y sí, esa es la fecha, ese es el día en el que será obligatorio cumplir el Reglamento General de Protección de Datos de la Unión Europea (RGPD).

No hay prórrogas

¿Pero no hay prórrogas? ¿No falta una ley que aplique todo esto en España y que nos dé algo más de tiempo? No. Y también no. El RGPD es un tipo de norma europea que se caracteriza, precisamente, porque tiene aplicación directa en todos los estados miembros, con el mismo rango que las leyes emanadas de los parlamentos nacionales. Surten efectos plenos sin necesidad de que se dicten normas nacionales. Es más, un reglamento europeo relega la aplicación de cualquier norma nacional que contravenga lo dispuesto en él.

Reglamento descafeinado

Es este un caso, sin embargo, en que la complejidad jurídica, política e incluso sociológica de la materia, ha hecho que el RGPD sea un reglamento descafeinado en ciertos aspectos, porque el propio texto de la norma señala expresamente que determinados puntos muy concretos sean decididos de forma definitiva por los estados miembros. Y esa es la razón de que tenga que existir también una nueva ley nacional de protección de datos en cada uno de los estados miembros. Pero tenemos que ver esa ley nacional como un “anexo” al RGPD, y no como una norma de desarrollo o transposición. Lo que aplica es el RGPD y, completando el  esquema, la ley nacional. En España, por ese motivo, tendremos una nueva LOPD, que se llamará igual que la de 1999, pero el único parecido entre ambas normas es única y exclusivamente el nombre. Por cierto que la ley española todavía tardará algún tiempo en reflejarse en las páginas del BOE, porque su tramitación parlamentaria está en una fase todavía muy incipiente. Precisamente en estos días se han presentado las 369 enmiendas al proyecto de ley que se tramita en el Congreso de los Diputados.

De obligado cumplimiento

Bueno y, llegados aquí, ¿qué tengo que hacer? Cumplir. Unos cumplirán porque están convencidos de que el respeto de un derecho fundamental como la protección de datos personales es un valor en sí mismo. Otros cumplirán para evitar sanciones económicas potencialmente muy cuantiosas. Y otros, cada vez más, cumplirán porque el daño reputacional de no hacerlo es inasumible. Estamos viviendo episodios en estas semanas que son ejemplos de libro de cómo las cuestiones relacionadas con la protección (o desprotección) de los datos personales afecta a la reputación de una compañía. Y, no seamos ciegos, la reputación es, a fin de cuentas, el valor de la acción, pero no sólo de la compañía directamente afectada, sino de todas las que se le parecen o hacen cosas que, a vista del consumidor, pueden estar relacionadas. Es cierto que hay cierto componente de falsa ingenuidad en todo ello, pero así funciona el mercado, y me remito a la infinidad de estudios sociológicos que explican los vaivenes de las cotizaciones producidos como consecuencia, a veces, de hechos coyunturales que se producen en el momento oportuno y en el lugar adecuado.

Profesionales cualificados

Hay que cumplir el 25 de mayo de 2018, decía. Y cumplir una norma como el RGPD no es sencillo y conlleva costes. Me refiero a Cumplir, con mayúscula, no a disponer de un papel firmado por un desaprensivo a quien no le importa empujar a empresas al vacío de enormes riesgos con tal de conseguir unas monedas. Cumplir como es debido requiere conocimientos especializados que, en muchos sectores, implican la especial obligación de designar a un Delegado de Protección de Datos (DPD). El DPD es un profesional cualificado con experiencia y conocimientos profundos en materia de protección de datos cuyas funciones se resumen en asesorar y supervisar a la organización en esta materia. Nuevo campo de especialización profesional para miles de perfiles jurídico-técnicos.

Cambios significativos

Cumplir implica cambios significativos que van mucho, mucho más allá de simplemente adaptar unas cláusulas en un formulario. De hecho, las cláusulas son lo último en adaptarse, porque el contenido de la cláusula adaptada a RGPD requiere incorporar toda una serie de información y partir de unas decisiones que es preciso preparar y adoptar previamente.

Seamos realistas, adaptar una organización para cumplir el RGPD es un proceso que lleva meses. Es largo, costoso y complejo. Pero hay que hacerlo, y la buena noticia es que tiene premio. Por supuesto, el premio es no tener sanciones, mantener (o incluso aumentar) la reputación y tener la conciencia tranquila. Pero hay premio adicional, el bonus, el número complementario, el Jackpot. Ese premio es la activación del dato como valor en el negocio. Un tratamiento correcto de los datos, que cumpla la normativa y respete los derechos de los interesados se convierte, automáticamente, en un activo de la compañía sobre el que construir y cimentar negocios.

Cuenta atrás

No es una quimera ni un espejismo. Es una realidad y casi una necesidad encarar el tratamiento de datos personales como la gestión de un activo y no sólo como el control de un riesgo. Avanzar por la senda de la protección de los datos como la protección de un activo es un camino de futuro en cualquier compañía. Pero, por supuesto, esto sólo es posible si se cumple la norma. Estamos en la recta final. Se acaba el tiempo. El RGPD ya está aquí.