El aniversario del RGPD

AUTOR: Ana Victoria Martínez

FECHA: 30/05/2019

Ya ha pasado un año desde la entrada en vigor del Reglamento General de Protección de Datos, que ha supuesto un gran reto de adaptación para las empresas. La Agencia Española de Protección de Datos ha publicado una Memoria que ofrece una visión general de lo acontecido en este año y los desafíos a los que nos enfrentamos.

Unos meses tras la entrada en vigor del RGPD se aprobó la LOPDGDD que incorporaba un elenco de derechos digitales. Asimismo la Ley contenía una disposición final que habilitaba la recopilación de datos personales relativos a las opiniones políticas de los interesados con la finalidad de remitir propaganda electoral. El Tribunal Constitucional ha estimado el recurso de inconstitucionalidad presentado por el Defensor del Pueblo, que declara nulo el artículo incorporado en la LOREG por la disposición final de la LOPDGDD.


La Agencia ha publicado múltiples guías y herramientas para ayudar al cumplimiento de la nueva normativa. Además, publicó finalmente el 6 de mayo de 2019 la lista de los tratamientos de datos personales que requieren una Evaluación de Impacto y está pendiente la publicación de la lista de los tratamientos que no la requieren.


En su Memoria anual, la Agencia nos habla de cifras: 14.146 reclamaciones registradas desde enero a mayo, 34.193 Delegados de Protección de Datos, un total de 547 notificaciones de brechas de seguridad desde la entrada en vigor del RGPD hasta finales de 2018.


En materia de sanciones, la postura de la Agencia hasta ahora se ha centrado en concienciar y en poner a disposición de los responsables y encargados herramientas y orientaciones que faciliten la adaptación. Por el momento, desde la aplicación del RGPD y LOPDGDD, no se ha impuesto ninguna multa pero sí múltiples sanciones bajo la forma de apercibimientos.
Hay muchos interrogantes en relación con la figura del DPO. En múltiples debates entre expertos a lo largo de este año se ha puesto de manifiesto la necesidad de la elaboración de un estatuto de jurídico que regule esta nueva profesión. Iremos viendo la evolución de esta nueva figura, su posicionamiento jurídico y dentro de las organizaciones, los límites de su responsabilidad y las cualidades profesionales que las empresas realmente le van a exigir. Hasta el momento, somos conscientes de que un DPO tiene que “saber de leyes”, de riesgos, de sistemas y de tecnología y tendrá que tener una serie de habilidades para ganar voz frente a los altos cargos.


Acertadamente afirmaba Carlos Alberto Sáiz en la mesa redonda que tuvo lugar en el Digital Enterprise Show del pasado 21 de mayo, que: “La carrera empezaba en 2016 y no la meta (…) estamos en la prehistoria del nuevo paradigma de la privacidad”. Queda mucho camino por recorrer tanto para los expertos en materia de protección de datos como para las grandes, medianas y pequeñas empresas. La adaptación a la nueva normativa implica la concienciación, empezando por los más jóvenes, sobre la importancia de la privacidad y la formación en la materia. Además, el dinamismo de las actividades empresariales también se refleja en la Protección de Datos, que exige a las empresas la comprobación y verificación regular de la efectividad de las medidas que tengan implementadas.  
Las empresas que inviertan en proteger los datos personales que tratan adquirirán una ventaja competitiva y un plus reputacional. La brecha de seguridad puede salir más cara que la adaptación.