Velázquez, 109. Madrid (Spain - Europe)

+34.918327626 info@abanlex.com

El RGPD y la Ley de Chéjov

 

Por Santiago Arellano, Certificado DPO por AENOR y director comercial en Abanlex.

Antón Chéjov dijo que “una pistola que aparezca en el primer acto de una obra teatral será disparada inevitablemente en el tercero”

UN NUEVO ESCENARIO EN LA PROTECCIÓN DE DATOS

El primer acto del Reglamento General de Protección de Datos (RGPD) Reglamento (UE) 2016/679 se perpetró el 25 de mayo de 2016. En efecto, en aquel momento se promulgó la normativa que supuso, ni más ni menos, un cambio y el establecimiento de un nuevo terreno de juego para el sector empresarial en lo relacionado con los riesgos asociados a la protección de los datos y, más importante aún, con la violación de estos.

Más allá de acabar con la fragmentación entre las distintas normativas de los países comunitarios, la medida perseguía la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización.

El no cumplimiento suponía la aplicación de multas elevadas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio total anual y global del ejercicio financiero anterior (la de mayor cuantía), pero además de eso, el daño reputacional para las compañías que puede suponer la pérdida inmediata de clientes y el consecuente quebranto económico. Las sanciones alcanzaban la categoría de las penalizaciones impuestas para luchar contra la corrupción o el fraude y la discusión de esta problemática aparecía en la agenda de los Consejos de Administración.

EL PERÍODO DE GRACIA EN LA APLICACIÓN DEL RGPD

Inmediatamente después comenzó el segundo acto con una duración mayor como corresponde al metraje del desarrollo de una obra teatral: dos años, que finalizaron el pasado 25 de mayo de 2018, período transitorio que se estableció hasta su fecha efectiva de aplicación.

Durante esta etapa de gracia, las empresas tuvieron tiempo suficiente para conocer el impacto que el Reglamento iba a tener en la forma en la que trataban los datos y las medidas que debían adoptar para su cumplimiento. Ni que decir tiene, que no todas las empresas fueron conscientes de la importancia de la aplicación del RGPD y muy pocas destinaron partidas adicionales para garantizar la adecuación a la normativa.

Por esta época, concretamente el 24 de junio de 2017, ¡más de un año después del acto primero!, el Consejo de Ministros impulsó el anteproyecto de Ley Orgánica de Protección de Datos con el fin de adaptar la legislación española a las disposiciones contenidas en el RGPD. El anteproyecto se materializa en proyecto Proyecto de Ley y se remite a las Cortes Generales el 10 de noviembre de ese mismo año. En abril de 2018 y haciendo balance de la situación del proyecto en el Congreso, conocemos que hay 369 enmiendas presentadas por los distintos partidos políticos y, algún iluso, se preguntó en aquel momento si llegaríamos a tiempo al 25 de mayo, fecha en la que comenzaba a ser aplicable, con todas sus consecuencias y, añado, contundencia, el Reglamento Europeo.

LA CULTURA PROACTIVA DEL RGPD

El tercer acto arranca el 25 de mayo de 2018, quizás unos días antes, en el que todos recordamos el caos producido por las prisas y los bombardeos de petición de consentimiento y sus consecuencias nefastas de pérdida de base de datos. El conocido efecto 2000, de escasas consecuencias, daba paso al efecto RGPD, el mayor maremoto técnico-legal se estaba produciendo y, las empresas, estaban en paños menores, con sus webs desactualizadas, los contratos de gestión de datos sin firmar, sin políticas o protocolos de seguridad establecidos, sin haber realizado un análisis de riesgos oportuno… No habíamos entendido el cambio de modelo que el RGPD traía debajo del brazo: de la reactividad en el cumplimiento de la norma, a la cultura proactiva que impone el nuevo texto legal y, este cambio, comenzó a traer de cabeza a las organizaciones y las condujo a cometer errores que, probablemente, no puedan subsanar. Se confirma nuevamente la máxima de que “no es fácil quebrar paradigmas que parecían eternos”.

A pesar del consenso político existente para la tramitación de la nueva ley, muy pocos apuestan por la aprobación del proyecto de ley en los meses que quedan para finalizar el año, no obstante, el “decretazo” 5/2018, de 27 de julio, que regula aspectos relacionados con la actuación de la AEPD en sus labores de inspección, de aplicación del régimen sancionador y del procedimiento de instrucción, elimina la inseguridad jurídica existente a la hora de implementar el régimen sancionador por lo que se acaba el posible período transitorio añadido.

EL CUMPLIMIENTO EFECTIVO DE LA NORMA

A fecha de hoy, podríamos cuestionarnos que muchas empresas no cuenten con los recursos necesarios para hacer frente a los cambios y el recurrir a terceros les suponga un coste que no quieran o puedan asumir, pero sería injusto decir que no han recibido información sobre como afecta la normativa a sus negocios y, mucho menos, reclamar a las autoridades un comportamiento benévolo con las empresas que actúan de manera indebida ingenuamente no habiendo realizado tan siquiera el esfuerzo mínimo de tener un plan para hacer frente al RGPD, además, de constituir un agravante comparativo respecto de las organizaciones que sí se han preocupado, han realizado inversiones y están dando los pasos para adecuarse de manera continua.

Ni mucho menos estoy afirmado la necesidad de sanciones ejemplarizantes para dinamizar el cumplimiento normativo, la norma prevé, en determinadas circunstancias, la imposición de un apercibimiento. De otra manera, nos empezaremos a preguntar si estamos ante una comedia, una farsa o, realmente, para algunas entidades acabará en un melodrama y quizás en una tragedia.

El arma de fuego está amartillada, será, irremediablemente, disparada tal y como decreta el dramaturgo ruso.

Imagen cedida por: Manos Gkikas

 

Deja un comentario