El 25 de mayo se han cumplido tres años desde que es plenamente aplicable el Reglamento General de Protección de Datos (RGPD). La interpretación y gestión de las obligaciones impuestas por esta normativa, para aquel entonces, era un auténtico reto. Hoy en día, todavía lo sigue siendo.

El RGPD exigía pasar de un modelo absolutamente tasado con una serie de obligaciones cerradas, a un nuevo modelo de tipo abierto, basado en parte en la autorregulación, en el que, a partir del día 25 de mayo de 2018, las organizaciones son los garantes frente a la sociedad en general y frente al interesado en particular de que el tratamiento de los datos sea conforme a los principios y normativa de protección de datos. Esta posición de garantía articulada como principio de responsabilidad activa o accountability es la auténtica novedad que introdujo el RGPD. En virtud del este principio, cada entidad debe analizar qué riesgos están asociados a las distintas actividades de tratamiento, y atendiendo a las amenazas que se encuentren, se les requiere para establecer las medidas que sean adecuadas al caso concreto. Para la adopción de las medidas, cualquier entidad puede poner el foco en distintos estándares y marcos normativos como son el Esquema Nacional de Seguridad o la norma UNE-ISO/IEC 27001 de Sistemas de Gestión de Seguridad de la Información que facilitan la implantación de los controles para evitar la materialización de las amenazas.

Motivos por los que está el RGPD a debate

  • El Reglamento establecía como novedad el nombramiento de un DPD o delegado de protección de datos como pieza clave para la supervisión, de forma independiente, del tratamiento de protección de datos para determinadas organizaciones. Todavía hoy, muchas entidades públicas y privadas no han nombrado al DPD o, en muchas ocasiones, el perfil escogido no es el adecuado.
    La debida diligencia obliga a la gestión adecuada y notificación de las brechas de seguridad. La mayor digitalización de los procesos en las empresas, provocado en gran medida por la COVID-19, está poniendo a prueba esta obligación. Sólo en el año 2020 la AEPD ha conocido de 1.370 notificaciones de brechas de seguridad. De la lectura de los expedientes iniciados por la Agencia, se encuentran ejemplos de gestión adecuada de incidentes de seguridad.
  • Una de las cuestiones que más sombras ha provocado es el relativo a las transferencias internacionales de datos con el principal socio comercial de la Unión Europea: Estados Unidos. El Tribunal de Justicia de la Unión Europea dictó el 16 de julio de 2020 (caso SCHREMS II) Sentencia en la que declaraba la invalidez de la Decisión de Ejecución de la Unión Europea sobre la adecuación de la protección conferida al Escudo de Privacidad UE-EEUU (conocida como «Privacy Shield«) y que resultaba la cobertura legal indispensable para que las organizaciones europeas pudieran articular las comunicaciones de datos con Estados Unidos. Declarada la invalidez del Privacy Shield, la situación en la que aún hoy nos encontramos es de una notable inseguridad jurídica pese a que la normativa tiene arbitrados distintos mecanismos para que las transferencias puedan realizarse de forma lícita.
  • Mucho se habló hace tres años de las multas que podría conllevar el incumplimiento del RGPD. No obstante, las primeras grandes sanciones «ejemplarizantes» impuestas por la Agencia Española de Protección de Datos no se han empezado a imponer hasta fechas muy recientes. Podemos decir que muchas de las conductas que han sido sancionadas con multas de varios millones de euros son perfectamente evitables si se hubiesen articulado procedimientos adecuados. La obtención de una certificación en el estándar de privacidad ISO/IEC 27701 de Sistemas de Gestión de Privacidad, podría ayudar a gestionar las obligaciones de protección de datos y en consecuencia a evitar la imposición de este tipo de multas.

En conclusión y pese a que el RGPD situaba acertadamente en el centro del debate social el derecho fundamental a la protección de datos, podríamos decir, que tras tres años de plena aplicación del Reglamento General de Protección de Datos hay un amplio margen de mejora, especialmente en la gestión diligente de las obligaciones impuestas por la normativa de protección de datos.

Santiago Cruz Roldán, Abogado experto en TIC y cumplimiento normativo en Ubt Legal & Compliance, Delegado de Protección de Datos Certificado y miembro del Grupo de Regulación de Autelsi y del Observatorio Autelsi de Privacidad y Derechos Digitales.