En muy poquito más de un año será plenamente aplicable y exigible el Reglamento General de Protección de Datos (RGPD), siendo que, a partir del 25 de mayo de 2018, todas las empresas europeas deberán estar cumpliendo las obligaciones exigidas por esta nueva normativa.
Se trata de un Reglamento y no de una Directiva, lo que quiere decir que, llegada la fecha indicada, será de aplicación directa en los Estados miembros de la UE sin necesidad de ser transpuesto al ordenamiento jurídico de cada uno de éstos por medio de la aprobación de leyes nacionales al efecto. Esto supone que ahora mismo contamos con un año para examinar y adecuar en lo necesario los tratamientos de datos que estemos llevando a cabo en nuestra organización y la gestión que tengamos implementada en materia de protección de datos personales.
Teniendo en cuenta que no son pocos los cambios introducidos por el RGPD y que en organizaciones de gran envergadura o con un considerable volumen de tratamiento/s de datos, las adecuaciones en la práctica pueden consumir muchos meses de trabajo, podemos decir que se ha iniciado la cuenta atrás y que, ciertas entidades, si no empiezan ya a adecuarse al RGPD es posible que lleguen tarde y a día 25 de mayo de 2018 se encuentre en situación de riesgo a verse sancionadas por falta de previsión y no haber hecho los deberes a tiempo.
La nueva normativa incorpora muchas nuevas exigencias y, en ocasiones, su redacción no goza de toda la claridad que fuera deseable o abusa de terminología jurídica indeterminada. A ello debemos unir el hecho de que, en lo no regulado por el Reglamento, así como en aquellas zonas en que éste deja alternativas, entrará en juego la normativa nacional de cada Estado miembro.
En el caso de España, el Gobierno ha iniciado un proceso de reforma de la Ley Orgánica de Protección de Datos para adaptarla, evitar contradicciones con el RGPD e introducir determinadas mejoras en la normativa general y, en su caso, en la normativa sectorial sobre protección de datos. Por otra parte, la Agencia Española de Protección de Datos (AEPD) ha comenzado una necesaria y valiosísima labor de interpretación de dicho Reglamento, y ha publicado ya algunas guías, orientaciones y directrices, tanto suyas propias como del Grupo del Artículo 29.
No obstante, aún queda mucho trabajo por delante y se abre un período de incertidumbre para las entidades responsables y para los profesionales de la privacidad que se ven en la necesidad de empezar a trabajar con una norma que aún arroja dudas en su aplicación práctica. Resulta sustancia, por lo tanto, comprender el espíritu del RGPD, reflejado en los principios que recoge y rigen el mismo a lo largo de todo su texto, lo que puede arrojar algo de ayuda para orientar las interpretaciones que debamos ir haciendo.
El derecho de protección de datos de carácter personal es un derecho que ha sido en muchas ocasiones (y casi me atrevería a decir que con carácter general) mal entendido, infravalorado, adulterado e incluso prostituido. Por el contrario, existen también los “talibanes” de la privacidad, que defienden este derecho por encima de cualquier otro e incluso a veces por encima del propio sujeto de cuya privacidad se trata.
Como suele ocurrir con los extremos, ninguna de estas conductas deja en buena posición al derecho a la protección de datos, un derecho que, en la economía de la información, en esta era digital, cobra tremenda importancia, no sólo para el individuo sino para la sociedad. Por ello, creo que el RGPD nos brinda una maravillosa oportunidad para comprender qué es lo que realmente se quiere proteger, dando así, por tanto, el sentido que merece al derecho a la protección de datos.
Creo que ha empezado a producirse en nuestro tejido empresarial un cambio, lento, muy lento sí, pero profundo. Un cambio que hace nacer una verdadera cultura empresarial ética y de buen gobierno. En gran parte puede que se deba al nuevo régimen de la responsabilidad penal de las personas jurídicas, que arrastra consigo la necesidad de dotarse de unos códigos y unas normas bien reflexionadas y adecuadas a las características y necesidades de cada entidad y del que destaca el mismo principio de responsabilidad activa que ahora exige este nuevo RGPD. En parte, también, porque cada vez con mayor frecuencia, empresas de países más avanzados en este sentido, nos exigen haber incorporado estos códigos y políticas.
Sea como sea, aprovechemos los cambios que nos exige el nuevo Reglamento para dotar a nuestras empresas de unos mecanismos sólidos, ajustados a ellas y que sean respetuosos con aquellos de quienes proviene uno de sus principales activos, la información, y que no son otros sino las personas con quienes, por una u otra razón, se relacionan en el desarrollo de su actividad.
Apúntate al webinar "Reglamento Europeo de Protección de Datos: Principios y derechos de los interesados", que Formación Lefebvre - El Derecho organiza el próximo 19 de abril. Inscríbete aquí. Aún estás a tiempo de apuntarte a los dos cursos impartidos por Ruth Benito con un precio especial.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación