El tiempo pasa deprisa y, aunque recordemos el arduo trabajo previo de concienciación y pedagogía antes de su entrada en vigor y todo lo que supuso ese día D de 2018, ya se han cumplido cinco años de su implementación. Sí, hace semanas, a finales de mayo, cumplimos un lustro bajo el Reglamento General de Protección de Datos (RGPD).
¡Qué locura llegaron a ser esos días! La gran mayoría no actuó hasta que no vio las orejas en el lobo, como suele decirse. Por el contrario, pocos llegaron con los deberes hechos. Y no del todo, porque el panorama de su desarrollo dejaba algún resquicio a la duda de que no se disiparía hasta el momento de su uso y aplicación real.
La práctica hace el maestro, se dice. Pasado el tiempo, debemos convenir que bien por la amenaza de sanciones, bien por el temor a quedar fuera de juego o por convencimiento estratégico, hoy la norma es de cumplimiento general y está integrada en las organizaciones de forma muy extendida. Siempre hay lamentables excepciones, por supuesto.
Podemos asegurar que el RGPD ha introducido significativos avances en el ámbito de la protección de datos personales en los últimos cinco años que ya hemos naturalizado. Uno de los más importantes, el del consentimiento informado. Los ciudadanos somos ahora mucho más conscientes y eso obliga a los responsables de tratamiento a ser más estrictos. Nos hemos acostumbrado a exigir que el consentimiento sea libre, específico, informado e inequívoco, lo que brinda a las personas un mayor control sobre sus datos.
Pero no sólo con el consentimiento, estos cinco años se han fortalecido los derechos de los individuos en relación con sus datos personales, lo que incluye el derecho a acceder a sus datos, corregirlos, eliminarlos, restringir su procesamiento y trasladarlos a otro proveedor de servicios. La otra cara de esta moneda es que ese empoderamiento de las personas implica obligaciones claras para las empresas. No eran del todo nuevas, pero sobre todo el RGPD pone énfasis en la exigencia de implementar medidas de seguridad adecuadas. Y, siendo prácticos, con una propuesta muy útil como realizar evaluaciones de impacto de protección de datos en ciertos casos y notificar violaciones de datos a las autoridades y los individuos afectados en un plazo determinado.
Luego están el más mediático y llamativo, las sanciones. Sí, no cesan y son cada vez más cuantiosas. Sobre todo las grandes tecnológicas y empresas de telecomunicaciones. Un clásico. Lo cierto es que sí, aquí están las multas, pero antes de llegar aquí, empresas y organizaciones han tenido plena autonomía para decidir cómo tratar los datos personales y poder demostrar, en todo caso, que cumplen los principios de protección de datos. Es cuestión de voluntad.
Si nos quedamos con una lectura positiva de estos cinco años es que su impacto en la protección de datos personales ha elevado la conciencia general sobre la privacidad en cotas muy respetables. Ya no vale todo con la excusa de que nadie se entera.
