Publicaciones

¿Qué es lo que se esperaba de países y empresas durante estos dos años?

Los países no tenían mucho que hacer, puesto que el RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional. De todas formas, el RGPD es un caso un poco especial, puesto que su propio contenido sí permitía que los países de la UE tomaran una serie de decisiones específicas en un reducido número de materias, y dejaba cierto margen para concretar algunos puntos.

Por su parte, las empresas sí tenían mucho más que hacer en estos dos años. El importante cambio de enfoque en la estrategia de cumplimiento en materia de protección de datos de carácter personal derivado del RGPD hace que las empresas tengan que acometer unos cambios muy relevantes que afectan a procedimientos internos y obligaciones específicas para dar cumplimiento a la norma asi como a la documentación del propio cumplimiento (el principio denominado de “accountability” o responsabilidad proactiva: tengo que cumplir y tengo que poder demostrar que cumplo). En muchos casos, los cambios pueden llegar a afectar al ámbito organizativo, por ejemplo en aquellas empresas que tengan que designar a un Delegado de Protección de Datos. Como vemos, tareas, labores y trabajos largos y complejos, que suponen un coste no desdeñable en muchos casos.

En el momento de redactar este artículo faltan únicamente 3 meses para la fecha mágica. Y se puede decir sin estar muy equivocados que no es mucho lo que se ha hecho hasta ahora para que los países y las empresas estén en perfecto estado de cumplimiento el 25 de mayo de 2018.

A nivel legislativo, y centrándonos en el caso español, el proyecto de nueva Ley Orgánica de Protección de Datos (sí, seguiremos teniendo una LOPD, pero será totalmente distinta a la actual) está iniciando su tramitación parlamentaria por el cauce ordinario, habiéndose descartado el trámite de urgencia. Esto quiere decir, en términos de plazos, que es más que probable que no dispongamos de una LOPD adaptada al RGPD antes del 25 de mayo de 2018. De todas formas, como decíamos al principio, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

A nivel empresarial, son muchas las empresas que están ya en proceso de adaptación al RGPD, pero no son menos las que todavía no han empezado a trabajar en este proyecto. A esas empresas les quedan cuatro meses muy intensos de trabajo y toma de decisiones, o de hacerse a la idea de que estarán en situación de riesgo a partir del 25 de mayo si no hacen nada. El riesgo, como es sabido por la mayoría, es el de las posibles sanciones que se establecen en el RGPD (enormemente cuantiosas). Pero, sobre todo, el riesgo es reputacional. En el actual contexto de economía digital, donde la imagen pública de cualquier negocio puede verse afectada de forma muy relevante (a favor o en contra) por las redes sociales y lo que en ellas ocurre, el poder identificarse como negocio responsable en privacidad puede ser un elemento necesario para una buena reputación pública; y, al contrario, un negocio que sea conocido por su irresponsabilidad en el enfoque de privacidad puede verse seriamente penalizado.

Desde aquí quiero dar un mensaje de optimismo. Queda poco tiempo, pero todavía se puede llegar en plazo y en forma a mayo de 2018 con los deberes hechos, o razonablemente hechos. Se trata de ponerse en marcha y recorrer ese camino con decisión.