A pesar de que existen diferencias en el tratamiento e integración de algunos principios ya presentes en el anterior cuerpo normativo, la principal novedad del nuevo RGPD (Reglamento General de Protección de Datos) frente a otras normas anteriores de protección de datos es el cambio de enfoque, de orientación de esta norma. Los países “mediterráneos” tendemos a regular de forma férrea, muy restrictiva y con un catálogo de requisitos tasado; eso había convertido nuestra Ley Orgánica de Protección de Datos y el Reglamento de desarrollo en una de las legislaciones “más duras” de la Unión Europea.
El Reglamento Europeo propone un enfoque más “anglosajón” basado en dos principios: Principio de Responsabilidad Proactiva y Enfoque del Riesgo. El Principio de Responsabilidad Proactiva exige una actitud consciente, diligente y proactiva por parte de las organizaciones para todos los tratamientos de datos personales que se llevan a cabo, y el Enfoque del Riesgo, que las medidas orientadas a garantizar el cumplimiento de las disposiciones, tienen que tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán cuando exista un alto riesgo para los derechos y libertades y otros se tendrán que modular en función del nivel y tipo de riesgo que los tratamientos presenten.
Los datos son la nueva “mina de oro” de las compañías
Aunque los principales afectados por la entrada de la nueva normativa, serán las entidades públicas o privadas que traten datos de carácter personal en mayor o medida, por otro lado, existen también los principales “beneficiados”, que somos todos, los ciudadanos de a pie. A nadie se le escapa que los datos son la nueva “mina de oro” de las compañías; tanto por el beneficio como por la utilidad que aportan en nuevos procesos. No podemos darle la espalda a esa realidad que también nos beneficia a todos, pero si debemos poder decidir, y el consentimiento debe estar siempre basado en la información. Si no sabemos, si no conocemos, no podemos consentir. Y el poder de los derechos que nos asisten reflejados en esta norma, también nos empoderan frente a los abusos que se han venido cometiendo.
Es hora de dejarlo en manos de especialistas
La adaptación de gran parte de los requisitos exigidos por esta normativa tiene un impacto enorme en los procesos internos y a nivel tecnológico. Pongo un par de ejemplos: el consentimiento y la tutela de los derechos. En ambos casos, pudiera parecer que se trata de un proceso plano sin más afectación que la de obtener el consentimiento del titular de los datos y trasladarlo a un “registro” que diga si esa persona consiente o no; asimismo con la tutela de derechos: habilitamos un canal de ejercicio, respondemos al titular, le proporcionamos lo que nos pide y ya está. Pero lo que se desconoce es lo que es necesario que haya detrás para poder “cumplir”: trazas del consentimiento otorgado en sistemas muy distintos unos de otros, eliminación de datos en BB.DD., bloqueos de datos en miles de documentos, …
La relevancia de adaptarse a esta normativa, así como el impacto que tiene en las entidades, está implicando que este proceso no sea llevado a cabo de forma totalmente independiente. Todas las entidades, en mayor o menor medida, han solicitado soporte externo de profesionales especializados en compliance IT y seguridad para poder gestionar con éxito este gran proyecto. Son tantas las implicaciones, es tan transversal la afectación y requiere de tanta dedicación y recursos con conocimientos específicos, que es poco probable que una organización, ya sea pública o privada, lo gestione únicamente con sus medios.