Un año del RGPD: ¿reto superado?

27 Mayo 2019 | 1562 0

Un año después de que entrara en vigor, el RGDP no ha pronunciado su última palabra y debe seguir preocupando a las empresas.

El 25 de mayo de 2018, la entrada en vigor del RGPD (Reglamento General de Protección de Datos) estaba en boca y en las pantallas de todos. Haciéndose eco de los numerosos escándalos que habían dañado la reputación de algunas de las principales firmas digitales (como Facebook), el RGPD parecía ser una respuesta necesaria a la obsolescencia de las normas de protección de datos personales en una economía digital en rápida expansión.

Después de derramar mucha tinta, de poner en marcha a los departamentos legales y de marketing de las empresas, de alterar a los organismos reguladores, de responsabilizar a los usuarios… el RGPD todavía no ha terminado de dar que hablar.

Iniciativas generalizadas, pero desiguales

Un año después de la entrada en vigor del RGPD, constatamos un primer fenómeno: una gran mayoría de empresas, tanto multinacionales como pymes, ha iniciado sus procesos de cumplimiento mediante nuevos procedimientos, nuevos métodos de gestión o nuevas cláusulas contractuales. Sin embargo, para muchas de ellas, estas iniciativas sirven a menudo de «fachada», destinadas principalmente a cumplir los requisitos legales mínimos.

Si hasta ahora se ha favorecido a menudo este enfoque minimalista es, en primer lugar, porque el RGPD no ha recibido una respuesta especialmente favorable de las pequeñas y medianas empresas, que la han considerado un freno para el desarrollo de la economía digital en general y para su competitividad en particular. La perspectiva de imponer nuevas restricciones al usuario y de perder potencialmente algunos de los datos del cliente debido a la falta de consentimiento son las causas de esta reticencia.

No obstante, el propio texto origina, en parte, esta disparidad de enfoques. La primera versión del RGPD establece los principios que deben respetarse, pero sin proporcionar información sobre cómo llevarlos a la práctica, lo que deja margen para diversas interpretaciones. Por lo tanto, cada empresa era responsable de aplicar el método o los métodos que le parecían más apropiados para su propio contexto empresarial, a menudo, los menos restrictivos.

Hacia una homogeneización creciente (y más restrictiva) de las prácticas

Nos preguntamos si los trámites, incluso los más mínimos, llevados a cabo hasta ahora por las empresas, son suficientes para garantizar su conformidad reglamentaria. Aunque ahora les permiten sortear las sanciones de las autoridades reguladoras, no sabemos lo que podría pasar en el futuro.

Esto es debido a que, desde hace un año, el texto ha evolucionado a medida que se producen intercambios de información entre los organismos de regulación y las asociaciones profesionales, para definir con mayor precisión los métodos que faltan actualmente. Esta labor de ajuste y precisión responde, por una parte, a las reacciones de las empresas, pero también a la necesidad de las prácticas a nivel europeo.

El RGPD está destinado a aplicarse de manera uniforme en todo el mercado europeo, en el que todavía existen algunas diferencias. La CNIL, la autoridad reguladora francesa, conocida por ser más permisiva que sus homólogas europeas, va a perfeccionar, declinar el texto y endurecer, en parte, sus recomendaciones, para ir difuminando progresivamente las diferencias locales y alinearse a las normas aplicadas por sus vecinos.

Esto significa que las empresas deben permanecer atentas a las futuras evoluciones y comprobar que los métodos y los procedimientos que han desplegado siguen conformes a las nuevas exigencias reglamentarias.

Las evoluciones esperadas

Por tanto, el RGPD seguirá dando que hablar. Se encuentra todavía en una primera fase y continuará, con el paso de los meses y los años, redefiniendo el enfoque global de las organizaciones en materia de protección de datos personales.

Entre las evoluciones esperadas a corto plazo, destacamos el final anunciado de los métodos de consentimiento denominados soft, es decir, ligados a seguir navegando por una página web. Hasta ahora aceptado en Francia, este sistema de recopilación de datos, que responde a una posible lectura del RGPD en su versión actual, tiene todas las papeletas para desaparecer próximamente para dejar paso a los métodos «estrictos», que consisten en una manifestación directa del consentimiento (por ejemplo, con un clic en el botón «aceptar»)

La simetría de los consentimientos será sin duda un elemento de las próximas evoluciones. Consiste en proponer una simetría de las posibles acciones, por ejemplo con la presencia sistemática de un botón «Rechazar» junto al de «Aceptar».

Por último, se están definiendo también los intercambios de datos entre socios. Desde ahora, si una organización desea compartir con terceros los datos que recopile entre sus usuarios, deberá especificar quiénes son todos los socios implicados al recabar dicha información.

El RGPD seguirá evolucionando y definiéndose, con vistas a profesionalizar el mercado digital y responsabilizar a los titulares de datos confidenciales. Las organizaciones deben ahora considerar el RGPD como un parámetro más en todas sus decisiones: a la larga, afectará a sus métodos de trabajo, procesos de diseño y producción y, por supuesto, a su estrategia y operaciones de marketing. Hoy en día, a menudo solo nos preocupa la punta del iceberg, pero el cumplimiento es una cuestión que cada empleado deberá adoptar a diario, en cada tema y cada actividad. Solo así las empresas podrán apreciar las ventajas y las oportunidades, y no únicamente sus inconvenientes.

Para no perder ninguna de las últimas noticias de Commanders Act, ¡suscríbase a nuestro newsletter!