El RGPD y tú: una aproximación con sentido común

El RGPD y tú: una aproximación con sentido común

Apenas quedan 2 días para que el RGPD sea totalmente aplicable. El panorama ante esta nueva norma es absolutamente diverso y en cada organización se están viviendo estas últimas semanas de manera muy diferente: nervios, tranquilidad, incertidumbre, desesperación, etc.

Se han publicado guías, herramientas, buenas prácticas, etc. en todo este tiempo por parte de los Reguladores, Comisión Europea, y Asociaciones Sectoriales o Profesionales, pero evidentemente no es suficiente para generar un grado de certidumbre al que hemos estado acostumbrados en los últimos años, donde las resoluciones, la jurisprudencia y la madurez de los sistemas LOPD daban muchas pistas de cómo se podía cumplir la norma.

Aproximación al RGPD Cumplimiento normativo GDPRNos encontramos a las puertas de un nuevo paradigma para la privacidad, para los derechos digitales, y para la manera de hacer negocios, especialmente en el entorno on line. El RGPD ha crecido mucho en la dimensión social y empresarial desde su publicación en 2016, pasando de ser «la nueva norma de protección de datos» a ser una preocupación importante para las áreas directivas de todo tipo de compañías, conscientes de la importancia de poder obtener y tratar datos de clientes, convirtiéndose además en un tema constantemente presente en prensa y medios de comunicación, círculos empresariales y la agenda de las organizaciones públicas.

Hemos de reconocer que queda mucho por hacer a todos los niveles y por parte de todos: Comisión Europea, Autoridades de cada país, compañías grandes y pequeñas, Administración Pública, pero también Profesionales de la Privacidad y la Seguridad, así como los usuarios. Aquí apunto, algunos de los primeros retos que considero relevantes desde el 25 de mayo 2018:

  • Sigamos trabajando. No es fácil haber implantado en este plazo de 2 años las modificaciones en procesos y tecnología, así como los cambios culturales que implica el RGPD, especialmente en grandes compañías. El 25 de mayo no acaba esto, sino que comienza. Sigamos trabajando para implantar todos los flecos que pudieran quedar y mejorar el sistema.
  • Es necesario que la generación de normativa nacional, tanto Ley como Reglamento, se termine lo antes posible a los efectos de dotar de mayor seguridad jurídica a todos los operadores, y se naturalice el inicio y la marcha de los nuevos procedimientos sancionadores.
  • Empecemos a medir. El RGPD apuesta claramente por los sistemas de gestión, y podemos aprender y aplicar muchas de las lecciones que hemos aprendido con los estándares internacionales ISO (27001, 31000, 19600, etc.). Pero resultará fundamental para una organización tener indicadores de privacidad para tomar decisiones, agilizar procesos, solicitar los recursos y apoyo adecuados a la generación de una demanda aún desconocida con el nuevo régimen RGPD. Si podemos hacerlo con herramientas de gestión especializadas mucho mejor para automatizar al máximo posible.
  • La industria se ha movido mucho para vender servicios, productos, software, etc.  relativos a RGPD. Después de esta primera fase, es necesario sofisticar el discurso y la necesidad, afinando soluciones concretas para problemas concretos con un enfoque adecuado y proporcional. Pasaremos de las políticas de ciberseguridad perimetral a políticas de Gobierno y Protección del Dato.
  • Más y más awareness. Cuando una empresa me dice que tiene poco presupuesto y me pregunta a qué dedicarlo en materia de RGPD, siempre contesto lo mismo: Formación, Concienciación y creación de una Cultura de Privacidad. Posiblemente sea una de las medidas prioritarias en términos de mitigar riesgos de incumplimiento. Los escándalos como el de Facebook están comenzando a calar con fuerza en la preocupación de los usuarios por la privacidad. En este sentido es necesario recordar a todo el mundo que es usuario/a de servicios, cliente de productos, trabajador/a en su empresa, padre/madre de menores, etc. Y en todos esos ámbitos debemos hacer permeable la cultura de la privacidad.
  • Más buenas prácticas y la profesionalización de la figura del DPO. En España tenemos muy buenos profesionales en privacidad, buenos conocedores técnicos de la norma que ahora necesitan complementar su formación y capacidades para intentar ser ese perfil profesional que el Reglamento ha dibujado como DPO. Sin duda, necesitarán más formación, equipo y recursos internos, ayuda externa de profesionales especializados, y cada uno dibujará esa estructura de Gobierno de la Privacidad de la mejor manera que pueda y le dejen en su organización.

Existen muchos más aspectos relevantes, pero también muchos meses post-RGPD para ir tratándolos…

Buena suerte a todos y mucho ánimo para esta nueva y apasionante etapa.

Carlos Sáiz.

Socio y Vicepresidente, Ecix Group

Share post:

Leave A Comment

Your email is safe with us.