Ya ha pasado un año desde la entrada en vigor del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, más conocido por todos como RGPD (Reglamento General de Protección de Datos) o por sus siglas en ingles “GDPR”.
Lejos quedan las semanas previas de aquel 25 de mayo de 2018, cuando todos recibimos el bombardeo de e-mails de empresas que desconocíamos, que tenían nuestros datos, reclamando el consentimiento para poder tratar nuestros datos.
Pese a que, esto denotó un fallo de interpretación de las causas legitimadoras para el tratamiento de datos previstas en el RGPD, también es cierto, que sirvió para esclarecer y resaltar el cambio de paradigma respecto a lo que se entendía como consentimiento en esta nueva normativa.
Pasamos de un consentimiento tácito, válido hasta la fecha, a la exigencia de que el consentimiento fuera otorgado mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen.
En junio de 2018, la Agencia Española de Protección de Datos (AEPD), autoridad de control española con competencias en materia de protección de datos, pública su esquema de certificación de Delegados de Protección de Datos (DPD).
¿Qué es o quién es el Delegado de Protección de Datos?
El concepto de DPD no es nuevo. Aunque la Directiva 95/46/CE no exigía a ninguna organización el nombramiento de un DPD, la práctica de tal designación se desarrolló, no obstante, en varios Estados miembros a lo largo de los años, no siendo así en el caso de España. Es por ello, que en España sí que ha resultado ser una de las novedades más importantes que ha introducido el RGPD y que ha tenido un desarrollo más completo por parte de la nueva normativa nacional (LOPD-GDD), a la cual haremos referencia más adelante.
El DPD explicado de forma somera, es el encargado de supervisar el cumplimiento de la normativa vigente en materia de protección de datos dentro de las organizaciones y se erige como punto de contacto en materia de protección de datos dentro de la organización, frente a los interesados y frente a la propia Agencia Española de Protección de Datos.
Avanzando con la evolución de este primer año de RGPD, durante el cuarto trimestre de 2018, saltaron a la luz, significativos incidentes de seguridad, que afectaron a millones de usuarios, que vieron expuestos sus datos de carácter personal, como fueron los casos de Facebook y Cambridge Analítica, la exposición de datos de Google +, la brecha de seguridad de la cadena hotelera Marriot International, British Airways, Quora, etc.
Desde la entrada en vigor del RGPD, estas brechas deben ser notificadas a la Autoridad de Control competente, como también a los usuarios cuyos datos han sido afectados, siempre y cuando se haya producido un perjuicio para los derechos y libertades fundamentales de los mismos.
Para obtener una visión de la evolución de esta nueva obligación prevista en el RGPD, podemos coger como referencia el último informe mensual (abril 2019) sobre notificaciones de brechas de seguridad, publicado por la Agencia Española de Protección de Datos (AEPD). En este, se aprecia que ha habido un total de 95 notificaciones de brechas de seguridad, de las cuales, aproximadamente el 20% se dieron en Organizaciones Públicas. Destacar también, que los medios de materialización de dichas brechas de seguridad, que más se han repetido durante este periodo, han sido el Hacking, la perdida/robado de dispositivos e incidencias de Malware.
No podemos olvidarnos en este breve resumen temporal del RGPD, de distinguir la adecuación de la normativa española en materia de protección de datos, a las exigencias y novedades introducidas por el Reglamento Europeo. De este modo, el 6 de diciembre de 2018, entró en vigor la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) normativa que, en la actualidad, convive junto con el RGPD.
Mucho se habló en sus inicios, de las desorbitadas sanciones que preveía el RGPD, de 10 Millones o 20 Millones de euros o del 2% o el 4% del volumen de negocio total anual global del ejercicio financiero anterior. No fue hasta enero de 2019, cuando la CNIL la autoridad de control francesa en materia de protección de datos, impuso una multa de 50 Millones de euros a GOOGLE por infracciones vinculadas con el deber de informar y obtención del consentimiento de sus usuarios.
Análisis del primer año de RGPD
El análisis global de este primer año de RGPD, es claramente positivo, pero con matices, un alto porcentaje del tejido empresarial español sigue sin adecuarse a la normativa vigente en materia de protección de datos, y esto es una carencia que durante los próximos años se debe de solventar, con vistas a ofrecer mayor confianza en los interesados y terceras empresas.
Pese a que el futuro es incierto, sí se vislumbra una mayor concienciación en las organizaciones que tratan datos de carácter personal, como también en los interesados, que cada vez, son más conocedores y están más sensibilizados con la importancia de decidir sobre sus propios datos. Esperamos ver en los próximos años el desarrollo de códigos de conducta o estándares de cumplimiento en materia de RGPD, así como un mayor desarrollo de la normativa nacional (LOPD-GDD), con el fin de aportar más luz y simplificar todos aquellos puntos que tanto el RGPD como la LOPD-GDD no han sabido concretar y aterrizar, desde un punto de vista práctico.
Con la llegada de nuevas tecnologías que prometen un sinfín de ventajas y facilidades, también dimanan nuevas vulnerabilidades en términos de privacidad y seguridad de las que nadie es inmune. Es por ello, por lo que debemos seguir luchando por proteger nuestros datos, como ese gran activo intangible, fundamental para todas las organizaciones, en ésta, nuestra era digital.
Celebramos este primer aniversario del RGPD, no como una meta conseguida, sino como un punto de partida hacia un largo camino en la seguridad de la información, privacidad y protección de datos.