En el día de hoy, se cumplen dos años de aplicación del Reglamento 679/2016 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD). Es momento para hacer una reflexión sobre aquellos aspectos en los que la sociedad ha avanzado y procurar vislumbrar por dónde irán los pasos de la protección de datos de carácter personal en el futuro.
El ciudadano y la empresa, por lo general, ha ido tomando consciencia de la importancia del adecuado tratamiento de sus datos de carácter personal en este tiempo. Todos recordaremos como hace dos años, por estas mismas fechas, nos llegaba una infinidad de correos electrónicos solicitando nuestro consentimiento de forma masiva. Sin entrar en si era debido o no aquella solicitud de consentimiento, sí sirvió para poner en órbita la repercusión de este principio del consentimiento, así como de la importancia de que se informe al usuario final de cómo se van a tratar sus datos con un lenguaje que éste pueda entender (principio de transparencia). Consecuencia de la consciencia que los ciudadanos han ido tomando sobre su derecho a la protección de datos, es que se han presentado durante el año 2019 más de 11.000 reclamaciones a la Agencia Española de Protección de Datos, y que haya inscritos hasta la fecha más de un millón de personas en el Listado Robinson.
En este tiempo, se constata una mayor sensibilización en el mundo empresarial de la necesidad de proteger el dato, así como su oportuna comunicación a la Autoridad de Control y a los interesados, de aquellas brechas de seguridad que se dan en la vida ordinaria de las entidades.
Además, ha venido para quedarse la función del delegado de protección de datos, que o bien es asumida por un profesional interno de la entidad, o bien puede externalizarse por medio de un contrato de servicios. Queda por ver si a ese delegado de protección de datos se le hace partícipe realmente de las decisiones empresariales que afectan a la privacidad; si esos delegados de protección de datos tienen garantizada su independencia dentro la empresa; si los profesionales nombrados saben realmente de “protección de datos”, o bien se nombra a alguien de la entidad sin que sepa mucho del tema, como mero formalismo para “salir del paso”.
Hemos pasado de un sistema de cumplimiento formal –con un régimen rigorista y cerrado de las obligaciones de las entidades públicas y privadas- a otro modelo en el que prima el binomio responsabilidad-libertad de las empresas, lo que se ha venido a llamar responsabilidad activa. Como consecuencia de este principio, las organizaciones deberán realizar un análisis de riesgos sobre los activos de información que contienen datos de carácter personal, y adoptar la decisión de qué
medidas resulta más adecuada para garantizar la seguridad del tratamiento. Es decir, las entidades, tanto públicas como privadas, son los garantes de que el tratamiento se adecúe a los principios y estándares del RGPD.
Desde justo el momento actual, en el que ya llevamos recorrido dos años de dicha normativa, debemos preguntarnos: ¿qué se percibe que ocurrirá en el futuro con la protección de datos?
El futuro a largo plazo, casi con toda seguridad, supondrá una todavía mayor interrelación de los conceptos de ciberseguridad y compliance con los de protección de datos. Se girará, a mi modo de ver, en torno a la segunda parte del título del RGPD –olvidado por muchos-, en el que se menciona expresamente “la libre circulación de los datos”. Nos conduciremos hacia una mayor importancia de los conceptos de diligencia debida y autorregulación.
El futuro inmediato pasa ineludiblemente por una mejor y mayor dotación de medios personales y materiales a los departamentos de privacidad y protección de datos para lograr cumplir con la norma y acreditar dicho cumplimiento. Se requiere en todo caso, asegurar la formación necesaria e independencia a los delegados de protección de datos. Queda pendiente una adecuada gestión del ciclo de vida del dato desde el enfoque dado por los principios reflejados en la normativa. Nos debemos dirigir a la consecución de certificaciones que permitan acreditar la seguridad de la información, especialmente el estándar ISO 27001, -ampliando, en muchos casos, el alcance de la misma en las entidades que ya lo han obtenido-. El futuro, ineludiblemente, supone la adopción de un Sistema de Gestión de Protección de Datos, conforme a la norma ISO 27701, extensión del estándar 27001, que permite acreditar el cumplimiento conforme a lo establecido en el Reglamento General de Protección de Datos y sirve para orientar la más conveniente gestión de los datos de carácter personal. Santiago Cruz Roldán, Abogado y Consultor de Privacidad y Protección de Datos