Y, por fin, llegó... ya está aquí el Reglamento General de Protección de Datos de la Unión Europea

El uso de 'big data' y tecnologías que permiten la recogida y tratamiento de datos a gran escala a nivel global, y los enormes beneficios de estos negocios, generaron gran preocupación en las autoridades europeas.

La protección de datos es un tema candente en estos últimos años. No hay más que ver los problemas de privacidad de empresas como Google y Facebook, que parecen haber adoptado el lema de 'más vale pedir perdón que pedir permiso'.

 

El uso de 'big data' y tecnologías que permiten la recogida y tratamiento de datos a gran escala a nivel global, y los enormes beneficios de estos negocios, generaron gran preocupación en las autoridades europeas. Por eso, en enero de 2012 publicaron el borrador de una nueva norma cuyo recorrido culmina el 25 de mayo de este año.

 

El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) tiene un objetivo fundamental aunque no declarado abiertamente: atar en corto a las grandes empresas tecnológicas independientemente del país en el que estén, siempre que traten datos de ciudadanos europeos.

 

Para cumplir este objetivo, el GDPR ataca dos grandes frentes: empoderar al ciudadano frente a cualquier empresa u organismo que trate sus datos personales, y obligar a las empresas a preocuparse por la protección de datos, incluso por encima de sus propios intereses empresariales.

 

EL PODER DEL CIUDADANO

 

El RGPD garantizará al ciudadano la capacidad de decidir sobre los tratamientos de sus datos, ya sea en el momento de la recogida de sus datos, mediante una serie de opciones vinculadas a cada uno de los usos que las empresas quieran hacer de sus datos, o posteriormente, mediante el ejercicio de los derechos reconocidos en la normativa.

 

Estos derechos abarcan desde el conocimiento y disposición sobre los datos que se tienen del ciudadano, hasta la supresión de los mismos o la oposición a un uso concreto de los datos.

 

RESPONSABILIDAD PROACTIVA O 'ACCOUNTABILITY'

 

El principio de responsabilidad proactiva ('accountability', en inglés) del RGPD encierra una serie de tareas que fuerzan a las empresas a integrar el respeto a la protección de datos como uno más de sus procesos.

 

Esto implicará que, antes de desarrollar cualquier nuevo tratamiento de datos personales, debe realizarse un análisis para garantizar la privacidad, y, en determinadas circunstancias, valorar los riesgos para la intimidad, mantener un inventario de todo lo realizado y tener un asesor especializado que supervise los tratamientos y sirva de interlocutor con los afectados y las autoridades (el denominado Delegado de Protección de Datos). Además, la carga de la prueba recaerá en la entidad que haya tratado el dato.

 

En definitiva, las empresas tendrán que 'cambiar el chip' y concienciarse de que ya no vale de nada la búsqueda del agujero legal o la estrategia ventajista. La norma abusa tanto de imprecisiones que permite un amplio margen de interpretación a las autoridades con capacidad sancionadora, por lo que será difícil defender posturas que estén al límite.

 

¿Y SI NO CUMPLEN CORRECTAMENTE?

 

Las consecuencias ante el incumplimiento ha sido el gran reclamo de la nueva normativa. Sanciones por importe de 1,2 millones de euros para Facebook o de900.000 euros para Google, son insuficientes para hacer que estas empresas cambien sus estrategias, pero es que la norma anterior no permitía imponer sanciones mayores.

 

Por ello, el RGPD prevé unos importes mucho más elevados (hasta 20 millones de euros) o incluso orientados al volumen de negocios de la empresa (hasta el 4% de su volumen de negocios). Para hacernos una idea, en el caso de estas grandes empresas tecnológicas, podríamos hablar de sanciones superiores a los 1.000 millones de euros.

 

Pero salvo este tipo de empresas, es poco previsible que el resto sufra semejantes impactos en caso de infracción. Al menos durante los próximos años, es muy probable que las autoridades busquen escenarios de conciliación y resolución amistosa de las infracciones o con cuantías conservadoras, similares a las que se imponen hoy en día.

 

EL DÍA D

 

El RGPD entró en vigor el 25 de mayo de 2016, pero suspendió su aplicación hasta el 25 de mayo de 2018 para dar tiempo a las empresas y entidades a adaptarse.

 

Sin embargo, su complejidad es tan grande que este plazo se ha hecho muy corto. Muchísimas empresas están trabajando a marchas forzadas para intentar llegar a tiempo, pero esto no es un 'sprint'. No hay una meta a la que llegar para descansar y coger nuevas fuerzas.

 

El riesgo de sanciones de hasta 20 millones de euros (o 4% del volumen de negocio) ha espoleado a las empresas, pero las prisas no son buenas. Esto es una carrera de fondo sin fin. Un trabajo diario para el resto de sus vidas, que no se puede abarcar en unos pocos meses.