Un año después a un ritmo vertiginoso y lo cierto es que! de repente! nos encontramos a las puertas de cumplir el primer año desde la fecha de aplicación efectiva del RGPD. Hace un año! el tema dominaba la actualidad! las opiniones se difundían en formaciones! artículos! newsletters y se multiplicaban predicciones y apuestas sobre lo que sucedería después del 25 de mayo.
A modo de resumen! es importante reflexionar sobre lo conseguido tras estos 12 meses y lo que queda por conseguir! dado que no todo es rosas! pero tampoco nos limitamos a recoger espinas.
Entre los logros/hitos alcanzados en este primer año! destacamos los siguientes: Un año después
- Aumento significativo de la información/conocimiento y del sentido de alerta y preparación por parte de los ciudadanos y organizaciones sobre el tema de la protección de datos personales;
- Mayor preocupación por la seguridad de los datos personales! ya que! a pesar de que la adaptación al RGPD tuvo diferentes velocidades! este tema se llevó al orden del día;
- Las organizaciones que abordaron este tema se volvieron más maduras y responsables! solidificando su credibilidad ante clientes! proveedores y empleados. El reposicionamiento estratégico y la revisión de la forma de comunicación y relación permitió que las organizaciones con trayectoria datos de whatsapp en este ámbito pudieran fortalecer su marca;
- El RGPD impulsó la investigación científica sobre estos temas! tanto en el ámbito jurídico como en el de TI! adquiriendo una dimensión antes no reconocida;
- El RGPD no se convirtió! como algunos anticipaban! en una carta de intenciones. Ya se han reportado situaciones (a nivel nacional e internacional) en las que se decidió imponer multas a la luz del RGPD! por incumplimiento de los principios y normas allí establecidos;
- Se dieron pasos adelante! destacando la disposición por parte de la CNPD de un formulario específico para comunicar las EPD/DPO de las organizaciones! modificar una notificación ya realizada o comunicar el cese de funciones; un modelo de registro de actividades de tratamiento para los responsables del tratamiento y otro para subcontratistas! así como un formulario de notificación de situaciones de vulneración de datos personales;
- Destaca también la aprobación del Reglamento núm. 1/2018! referido al listado de tratamientos de datos personales en los que es necesaria la realización de una Evaluación de Impacto en Protección de Datos previa! además de los supuestos previstos en el núm. Artículo 35 del RGPD.
Lo que queda por hacer:
- El sector empresarial portugués está formado mayoritariamente por medianas y pequeñas empresas que no cuentan con los recursos económicos y humanos para abordar plenamente esta cuestión. También se puede observar que muchas organizaciones se encuentran en una fase embrionaria de implementación del RGPD y que otras aún se encuentran en el punto de partida;
- A pesar de los grandes movimientos en torno al tema! parece! en algunos casos! que poco ha cambiado y que las viejas costumbres se han mantenido. Tomemos el caso de la publicidad no solicitada en la bandeja de entrada de su correo electrónico y en mensajes de texto en su teléfono celular de entidades con las que no ha interactuado; la recopilación de datos personales sin indicación concreta de los fines y el período de almacenamiento y el posible intercambio de estos datos con ¿cómo influye la transformación digital en el sector contable? terceros! sin conocimiento de los interesados
- La inversión en alfabetización digital sigue siendo una alta prioridad. Esto se debe a que! si bien el acceso que la mayoría de los portugueses tienen a Internet y al mundo digital es innegable! también sigue siendo cierto que muchos no comprenden las implicaciones reales que sus acciones tienen en este “nuevo” mundo! o no lo saben. ! parece que estamos atrapados por un “velo de ignorancia” que nos hace pulsar irreflexivamente sobre un conjunto de botones/opciones que nos permiten acceder a un artículo! noticia! promoción o descuento sin pensar en lo que ese clic supone para compartir y privacidad de nuestros datos personal;
- También nos enfrentamos a la insuficiencia de recursos de la CNPD para responder a las exigencias que plantea el RGPD.
Aún no tenemos una ley nacional que implemente el GDPR Un año después
Es cierto que! pasado este tiempo! aún no se ha aprobado una ley nacional que implemente el RGPD! con las limitaciones que ello conlleva. Sin embargo! también es cierto que varias entidades públicas y privadas se han esforzado en interpretar y resolver cuestiones que se van planteando y que ayudan a otras entidades que siguen un camino similar. Una propuesta que permite eximir de multas a las entidades públicas que no cumplan con chequia a la cabeza los requisitos de protección de datos vuelve a estar sobre la mesa! un tema que sigue generando polémica.
Esto se debe a que es posible que las entidades públicas presenten una solicitud previa y fundada de exención de la CNPD y! de ser concedida! permitirá la exención (en los primeros tres años de vigencia de esta Ley) de las multas previstas en el RGPD. La ausencia de una legislación interna que implemente el RGPD hace que muchos ya estén hablando de la posibilidad de que pueda haber una acción de incumplimiento contra el Estado portugués! lo que da más urgencia a esta cuestión.
Así! si se han conseguido varios avances! también es fácil ver que todavía queda mucho camino por recorrer y que no podemos relajarnos ni dejar que las exigencias que el RGPD nos impone individual y colectivamente se duerman.