El pasado 25 de mayo de 2018 se convertía en una norma de obligado cumplimiento. El Reglamento General de Protección de Datos, conocido por sus siglas en inglés GDPR o en español RGPD, ya había estado «en nevera» otros dos años antes, para que las empresas pudieran ponerse al día. Aunque la realidad es que la mayoría lo hicieron a última hora.
¿Cómo ha impactado esta normativa en la protección de datos de los usuarios? ¿Ha ayudado a mejorar la seguridad informática de las compañías? A unos días del cumplimiento del primer año de GDPR, analizamos cómo han sido estos primeros 365 en vigor con José A. Rodríguez, DPO Global en Cornerstone OnDemand.
Pregunta: ¿Qué valoración se puede hacer de este primer año de GDPR?
Respuesta: La valoración es muy positiva. Por fin todo el mundo habla de ello (las leyes de protección de datos existen desde los años 70). La protección de datos, como la seguridad, es una cuestión de cultura organizativa (cultura que está creciendo rápidamente) y de concienciación del usuario (aunque aún no estemos dispuestos a renunciar a servicios que puedan no ser seguros, como las redes sociales).
P: ¿Qué ha supuesto GDPR a nivel de privacidad?
R: El GDPR ha supuesto la consolidación de más de 40 años de prácticas de protección de datos en distintos países de Europa, la actualización de esas prácticas respecto a los avances tecnológicos, y la creación de un marco normativo y ético lo bastante completo y profundo como para no quedarse obsoleto rápidamente. La privacidad ya no es, como lo fue en su momento, aparecer o no en el periódico. La privacidad ahora es quién tiene tus datos y qué hace con ellos. En ese sentido, el GDPR es la nueva privacidad.
P. ¿Ha ayudado a mejorar la ciberseguridad de las empresas?
La ciberseguridad es, probablemente, el requisito del GDPR más fácil de entender (aunque no por ello más fácil de implementar). Las empresas que ya tenían buenos niveles de seguridad (que se aplicaba a todos los datos, y no sólo los datos personales) han aprovechado, en su mayoría, para revisar y mejorar procesos, pero probablemente no hayan necesitado grandes cambios.
La mayor diferencia ha sido en empresas (sobre todo de pequeño y mediano tamaño) que tuviera poca ciberseguridad, ya que les ha obligado a dar un salto adelante.
P: Al comienzo hubo desconocimiento por parte de las empresas sobre cómo aplicar la normativa, ¿sigue ocurriendo?
Es muy difícil conocer estadísticas reales, y será cada vez más difícil ya que las empresas serán reticentes a admitir que se desconoce cómo aplicar la normativa. Lo que sí podemos es diferenciar entre dos tipos de desconocimiento: el desconocimiento general de la norma y su aplicación (que quiero creer que haya desaparecido en gran medida) y el conocimiento avanzado de cómo aplicar la norma en detalle y en situaciones específicas.
Este segundo corpus de conocimiento está aún generándose a nivel de la industria y tardará varios años en consolidarse. Por otra parte, también habría que diferenciar entre sectores, ya que algunos, como el de recursos humanos, irán más rápidos (al tratarse de sectores que ya seguían normas bastante específicas), mientras que otros como marketing necesitarán una adaptación mayor.
P: ¿Qué opina del número de sanciones que se han realizado?
R. La verdad es que han sido tan pocas, pero es muy pronto para opinar. El proceso sancionador lleva su tiempo, si consideramos como ejemplo que se necesite un año de media para sancionar, todavía nos queda esperar un poco para poder opinar.
P: ¿Son más conscientes los usuarios de sus datos y su privacidad?
R: Sin ninguna duda son más conscientes, pero aún tenemos mucho que aprender. Les invito a verificar, si tienen Facebook, su perfil de intereses personales, es decir, lo que Facebook considera que a ustedes les gusta, y que se utiliza para decir que publicidad se le muestra. ¡Seguro que aprendemos cosas sobre nosotros mismos que no sabíamos!
P: ¿Qué ha mejorado y qué necesitaría mejorar?
R: Ha mejorado el alcance de la ley, la concienciación, la implementación, la seguridad. Pero aún tenemos que avanzar en la unificación de la norma entre países, y en las pautas de implementación específicas según el tipo de datos.
