Desde que viera la luz el pasado 25 de enero de 2012 el borrador del Reglamento General de Protección de Datos de la Unión Europea, surgió la necesidad entre los profesionales de la privacidad de evaluar el “gap” que suponía este reglamento con respecto a la legislación vigente a nivel nacional en materia de protección de datos, es decir la Ley 15/1999 y el RD 1720/2007.
Este duro y necesario trabajo lo ha realizado los profesionales que conforman el Data Privacy Institute que durante 9 largos meses se han dedicado a analizar detalladamente este borrador de Reglamento General, generando un libro que compara cada articulo del mismo con la legislación vigente a nivel nacional. Este libro es sin duda una base de conocimiento inicial y esencial que deben obtener las empresas de cara al cambio sustancial que se aproxima.
He de recordar que este futuro Reglamento (que deberá aprobarse antes de marzo de 2014) tendrá una aplicación directa sobre todas las organizaciones europeas que tienen que cumplir con la normativa, logrando una armonización inexistente hoy en día. Sin embargo, este Reglamento General nace con el reto de coexistir con la normativa nacional de los Estados miembros, hecho donde quizás en España tengamos cierta ventaja ya que existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS y RD 1720/2007 principalmente) aunque en este borrador existen novedades que sin duda requerirán de esfuerzos importantes en el seno de las empresas españolas.
No pretendo en este artículo explicar en detalle el conjunto de novedades que se exponen en este borrador, (para ello recomiendo este libro) pero si me gustaría hacer hincapié en la nueva visión que aporta este borrador, describiendo un marco de GRC (Gobierno, Riesgo y Cumplimiento) donde se alineen los objetivos de negocio con requerimientos de privacidad, analizando los riesgos y teniendo en cuenta la privacidad desde la concepción de los sistemas de tratamiento de datos. Es aquí donde nacen los conceptos de Accountability, Privacy by Design, Privacy by Default y el Privacy Impact Assesment que obligaran a las empresas a preocuparse de la privacidad desde el primer momento que se implementen nuevos procesos en las empresas. En mi opinión será necesario hacer un importante esfuerzo entre los profesionales de la privacidad para hacer ver al negocio que los requerimientos de privacidad no son un impedimento al negocio sino que puede ser desencadenantes de retornos de la inversión a través de un reforzamiento de la imagen, un mejor posicionamiento en el mercado y una mayor confianza de los stakeholders.
Otros puntos novedosos a destacar es la incorporación de la figura del Delegado de Protección de Datos una figura que deberá existir en organizaciones de más de 250 empleados y que será la encargada de velar por la privacidad en la organización. Será un rol directivo cuya misión deberá ser trasladar los requerimientos de privacidad a la Dirección y cuyo reto deberá residir en el retorno de la inversión como valor añadido al cumplimiento legal. Otras novedades son la aparición de mecanismos y procedimientos como las consultas previas, certificaciones orientadas a privacidad, la notificación de violaciones de seguridad, el establecimiento de los derechos al olvido y a la portabilidad de datos, la evaluación del impacto desde el punto de vista de la privacidad de los nuevos sistemas de tratamiento de datos (Privacy Impact Assesment) y los cambios sustanciales que se producen tanto en el ámbito de aplicación de la norma como los criterios sancionadores.
A modo de conclusión es importante señalar que este borrador define una serie importante de novedades, algunas con impactos mínimos pero otras con impactos severos como hemos comentado y que requerirán esfuerzos muy importantes por parte de las organizaciones. La mayor incógnita reside en las dudas existentes en cuanto a cómo va a ser la estrategia de evolución entre el modelo europeo y el nacional, cuestión todavía por definir. Sin duda alguna se aproximan tiempos de duro trabajo tanto para los profesionales de la privacidad como para las empresas europeas.