Se cumplen 3 años desde que comenzó a ser exigible la aplicación obligatoria del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, o más conocido como RGPD)

El Reglamento General de Protección de Datos es la principal norma europea en materia de privacidad. Es de aplicación directa para todos los países miembros de la Unión y su objetivo es regular el tratamiento que se da a los datos de carácter personal, tanto desde el punto de vista de los derechos de las personas físicas, como de las obligaciones de las personas y entidades.

 A partir del 25 de mayo de 2018, comenzó la aplicación obligatoria del Reglamento, y se instauró así un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente en nuestro país está complementado con la entrada en vigor el 7 de diciembre de 2018 de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Todos podemos recordar el ajetreo inicial, te dedicases a esto o no, nuestra bandeja de entrada del correo electrónico estaba atestada de emails pidiendo la aceptación de las políticas de privacidad o nuestro consentimiento para el tratamiento de datos personales. Comenzaba así un trabajo de adaptación que aún no ha terminado, de aplicación de la nueva normativa en materia de protección de datos que cambiaba por completo el enfoque de lo que es la privacidad. Un proceso que no termina nunca, que trata de reevaluar y de incorporar procesos de mejora continua.

El cambio más radical que trajo consigo el Reglamento es la instauración del principio de responsabilidad proactiva, que supone que siempre va a haber que anticiparse a que los datos estén bien tratados sin esperar a que nadie nos lo exija.

Así empezamos a escuchar un término que los profesionales de la materia tenemos ya muy interiorizado: “Accountability”, que nos decía que no se trata solo de hacer lo justo para cumplir. Anteriormente bastaba con aplicar un protocolo de protección de datos, sin embargo hoy en día las obligaciones son más fuertes porque este principio implica que hay que llevar a cabo acciones constantemente y de forma periódica para mantener la protección de los datos en orden y al día.

A raíz de este cambio, las leyes ya no te indican las medidas de seguridad que deben tomar las empresas, sino que los responsables se encuentran obligados a aplicar medidas organizativas y técnicas que sean apropiadas para, no solo garantizar, si no también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

La llegada del Reglamento nos anunciaba una nueva forma de organizar y tratar la protección de datos, un cambio en el enfoque de la privacidad basado en los riesgos particulares de cada empresa y un enfoque que apunta la total transparencia en el uso de datos, lo que hace que las empresas comiencen a ver una oportunidad de mejorar su imagen y reputación frente a terceros, gracias a la percepción de seguridad y privacidad. En este sentido, la aún novedosa certificación ISO 27701, que se configura como el nuevo estándar en materia de seguridad y privacidad, a modo de “sello” de protección de datos, es un paso más y una excelente forma de demostrar a los clientes, proveedores y, en general, todas las partes interesadas internas y externas que se han implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad.

La novedosa figura del Delegado de Proteccion de Datos (DPO), que trataremos a fondo en otros artículos, obligatoria para determinadas empresas y voluntaria para todas, ahonda aún más en ese factor diferenciador para ir un paso más allá en el cumplimiento, garantizando un sistema interno de protocolos y supervisión que permite mejorar el cumplimiento, al margen de ser el canal a través del cual poder atender denuncias o reclamaciones.

La aplicación por parte de las empresas ha sido progresiva, aunque sí se ha advertido un aumento importante de la preocupación durante el último año con la llegada de las primeras sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Tras unos meses de adaptación, la Agencia ha endurecido su metodología y ya lleva abiertos más de 700 procesos sancionadores, de los cuales un porcentaje bastante alto concluye con la imposición de una multa (cuya cuantía puede llegar a los 20.000.000 €). Muy sonadas han sido las últimas multas millonarias, basadas en el incumplimiento de preceptos del Reglamento, como los 8 millones de euros a Vodafone, o los 6 millones a CaixaBank, que han aumentado considerablemente en el último año. La Agencia indicaba en su memoria del 2020 que los sectores más sancionados son las entidades financieras/acreedoras y las telecomunicaciones, que aglutinan el 76% del importe global de sanciones.

Pero también importantes sanciones de menor cuantía a otras empresas, pymes y autónomos, han tenido repercusión. Así, por ejemplo, la multa a un despacho de abogados por enviar un email sin copia oculta (10.000€), la sanción de 25.000 a Glovo por no tener designado Delegado de Protección de Datos (DPO) o a una empresa de seguridad privada por el mismo motivo han llamado mucho la atención entre el sector empresarial y han puesto sobre aviso sobre el posible impacto que una inadecuada adaptación de la normativa puede tener. En la actualidad ya podemos decir que la protección de datos es tendencia y que poco a poco se le está dando la prioridad que debería tener, también debido a la situación actual con la crisis del Covid 19, que ha dado lugar a mucho debate sobre la privacidad debido al teletrabajo, apps que tratan datos de salud, posibilidad o no de dar datos de las personas contagiadas y muchos otros ejemplos que, como estos, han hecho que la población esté mucho más concienciada que hace un año.

María Galera Meléndez, Redacción Equal.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *