Cinco años del Reglamento General de Protección de Datos
No cabe duda de que el Reglamento General de Protección de Datos Europeo (RGPD), supuso una nueva era para la protección de la privacidad de los ciudadanos europeos, así como un nuevo reto para las entidades que debían cumplirlo. Pues bien, el pasado 25 de mayo se cumplieron 5 años desde su efectiva aplicación práctica.
Corría el año 2016 cuando, tras muchos años de vueltas y vueltas, por fin, el 25 de mayo se aprobaba el Reglamento General de Protección de Datos, que resultaría de aplicación directa a todos los Estados Miembros de la Unión Europea.
Pasábamos pues, de normativas nacionales independientes (con más o menos exigencia), a un marco jurídico único que regulase la protección del derecho a la privacidad de los usuarios, y que, además, y, en el caso de España, al menos, suponía un cambio de paradigma en cuanto al cumplimiento y la acreditación de este.
Sin embargo, no debemos olvidar que el derecho a la privacidad de los usuarios y a la protección de sus datos personales no es algo nuevo.
En España, la primera ley que regulaba la protección de datos personales, se remota a 1992 (LORTAD), a la que siguió la de 1999 (LOPD) previa al RGPD y vigente hasta la aprobación en 2018 de la actual a la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD), que desarrolla determinados aspectos del RGPD en el ámbito español.
Así, desde la aprobación del RGPD aquel 25 de mayo de 2016, hasta la fecha de aplicación dos años después, el 25 de mayo de 2018, fueron muchas las entidades que, acompañadas en muchas ocasiones del asesoramiento de los profesionales de la privacidad, comenzaron a adaptarse a los nuevos requerimientos y obligaciones, mientras, de forma paralela, distintas autoridades de control iban publicando interpretaciones respecto de la aplicación práctica y efectiva en alguna de algunas obligaciones.
Eran tiempos de inseguridad e incertidumbre, pero con una amenaza o riesgo claro, el incumplimiento de la normativa podría salir caro a las entidades, al haberse modificado sustancialmente el régimen sancionador, y pasando, en el caso de España, de sanciones máximas de hasta 600.000€, al establecimiento de un régimen sancionador más robusto, que en su nivel más alto establece multas de hasta 20 millones de euros o el 4% de la facturación anual (y de ellas, la de mayor cuantía).
En estos cinco años de plena aplicación del RGPD, las entidades han madurado mucho en el cumplimiento de la normativa de protección de datos y su incorporación en los procesos de negocio, no sólo por cuestiones relativas a las posibles sanciones por incumplimiento, sino también porque el cumplimiento es un valor de las compañías a los ojos de sus clientes y usuarios, quienes, cada vez más, son perfectamente conscientes de sus derechos, y por tanto, exigen su protección y aplicación.
No obstante, cada año se baten récord no sólo en número de sanciones, sino también en la cuantía de las mismas.
En este 2023, siguen existiendo grandes retos y tendencias en materia de protección de datos personales y el cumplimiento del RGPD, entre los que destacaría los siguientes:
1. Regulación de transferencias internacionales de datos. En un mundo globalizado e interconectado, deben hallarse soluciones viables que permitan el flujo intercontinental de datos, y el punto de partida es, cuando menos, complicado. Los acuerdos para la protección de datos cuando los destinatarios son empresas estadunidenses (recordemos, dónde se ubican la mayoría de las matrices de las tecnológicas más punteras; Google, Amazon, Microsoft…), han resultado infructuosos al haber sido invalidados por los tribunales de justicia en diversas ocasiones. No obstante, y en mi opinión, la protección de datos, si bien no debe decaer en cuanto a su relevancia e importancia, tampoco debería ser un freno para el desarrollo social, económico y tecnológico y, por lo tanto, la búsqueda de soluciones lo más garantistas posibles es una clara necesidad.
2. Seguridad de la Información y Ciberseguridad. A nadie ya le resulta extraño el escuchar acerca de brechas de seguridad, ataques informáticos o virús informáticos, que ponen en riesgo los datos personales. Esto es una realidad, que irá a más, pues ninguna entidad o ciudadano está exento de riesgos cuando utiliza y trabaja con la tecnología. Por este motivo, las entidades deben poner especial foco en la gestión de la ciberseguridad de sus entidades, de sus procesos, de sus datos, pues si bien, en algunas ocasiones no evitaremos que se produzcan dichas brechas de seguridad, si mitigaremos los daños al tener una mayor capacidad de reacción y solución, lo que, sin duda, favorece la protección efectiva de los datos personales de los usuarios.
3. Innovación tecnológica y Privacy by Design. El desarrollo de la tecnología es imparable y, por esta razón, es esencial en las entidades incorporar el ámbito de la privacidad, y en concreto, los principios “Privacy by Design” en el diseño y desarrollo de nuevos procesos, productos y servicios. De este modo, cualquier proyecto de innovación habrá incluido entre sus elementos esenciales, la protección de la privacidad. Hay que tener en cuenta que el mero hecho de hablar de innovación no tiene que suponer, de facto, una amenaza para la privacidad, pues la mayoría de dichas innovaciones, suponen ventajas para los ciudadanos; porque les aportan seguridad, comodidad, entretenimiento...
Por último, añadiría una petición, esta vez más dirigida a las autoridades de control, y es relativa a los criterios e interpretaciones que estas realizan, tanto a través de sus guías e informes, como a través de sus resoluciones. En este sentido, probablemente como consecuencia de la intensa labor investigadora y sancionatoria de algunas autoridades europeas, no es inusual encontrar cierta falta de homogeneidad en los diversos pronunciamientos de estos organismos frente a supuestos de hecho que podrían considerarse análogos.
Ante esta situación y considerando las funciones consultivas, de control y sensibilización de estas autoridades, es algo sumamente importante que los criterios que emanan de las mismas queden claramente definidos, independientemente que puedan producirse matizaciones derivadas, por ejemplo, de innovaciones tecnológicas. De este modo, se aportaría mayor seguridad jurídica a usuarios, ciudadanos, y empresas, y al mismo tiempo, se visibilizaría exponencialmente la relevancia de la protección del derecho a la privacidad y a la protección de datos personales.
La integración de un enfoque de privacidad en las entidades no siempre es sencilla, incluso cuando se tiene la voluntad de aplicar los más altos estándares de cumplimiento, su efectiva implementación resulta complicada, entre otros aspectos por la diversidad de ámbitos que deben ser tenidos en cuenta o por la complejidad a la hora de comprender el impacto que puede tener la tecnología más innovadora en la privacidad de los usuarios.
Por ello, la labor de las autoridades de control en este ámbito resulta fundamental para aportar claridad y apoyar a las entidades que se esfuerzan en garantizar la mejor protección de los derechos de los ciudadanos.
***María González es Socia IT Compliance y Privacidad de ECIJA.