RGPD: ¿y ahora qué? [Borja Adsuara, Experto en Protección de Datos]

Hace un mes que empezó a aplicarse (en vigor llevaba dos años) el Reglamento General de Protección de Datos (RGPD) de la UE y, tras la hiperactividad de la última semana previa al 25 de mayo, como los malos estudiantes que lo dejan todo para el final, parece que todo vuelve a su ser y que, como ocurrió con el efecto 2000, no ha sucedido nada… ¿o sí?

Las empresas europeas -y las no europeas que prestan servicios en Europa- nos enviaron miles de correos, pidiéndonos algunas nuestro consentimiento expreso (sobre todo, para poder seguir mandándonos correos) y comunicándonos otras sus nuevas políticas de privacidad, adaptadas al RGPD. La pregunta es: ¿lo han hecho correctamente?, ¿han empezado a notar las consecuencias?

Ya se ha dicho que no era necesario ‘revalidar’ el consentimiento expreso si se contaba con él antes y muchas empresas que lo hicieron se han encontrado con la desagradable sorpresa de que sólo les ha contestado un porcentaje ínfimo de sus contactos. ¿Eso quiere decir que tienen que borrar los datos de los que no contestaron? Solamente si no puedan demostrar dicho consentimiento anterior.

Protección de datos desde el diseño y por defecto

Pero quien crea que ‘todo ha pasado’, se equivoca. Esto no ha hecho más que empezar y, como suelo decir, durante el primer año de aplicación de este nuevo Reglamento de circulación (de datos), tendremos que ponernos -todos- la “L” de prácticas (incluida la Agencia Española de Protección de Datos) y aprender cómo se circula con las nuevas normas… y cómo se sancionan las infracciones.

Para evitar las infracciones (y sanciones) es importante contar con herramientas tecnológicas que nos ayuden a gestionar bien los consentimientos de nuestros clientes para el tratamiento de sus datos, que no sólo han de ser expresos, sino también específicos, para cada uso y finalidad. Esas herramientas tecnológicas deben prevenir, alertar o, incluso, impedir los usos no consentidos de los datos.

Eso es lo que el RGPD llama protección de datos ‘desde el diseño’ o por defecto, que no sólo implica la implantación de herramientas tecnológicas, sino también de medidas organizativas (como tener un ‘árbol’ claro de quién puede acceder y usar los datos de los clientes, proveedores y empleados) y adaptar las políticas internas de la empresa (buenas prácticas).

La importancia de la formación y la divulgación

Pero quien crea que, con la implantación de estas herramientas tecnológicas o, incluso, de sistemas inteligentes de gestión de datos, se ha resuelto el problema, se vuelve a equivocar. La adaptación al RGPD y, sobre todo, su cumplimiento, no termina con una revisión jurídica y con la aplicación de medidas tecnológicas, sino que es imprescindible una intensa labor de formación interna.

Hasta que no se forme todo el personal de la empresa, desde el primer directivo hasta el último empleado, en la filosofía o cultura del RGPD, no valdrán de nada las adaptaciones jurídicas, ni las medidas organizativas y tecnológicas. Porque, como es sabido, en temas de seguridad (y privacidad de los datos) el ‘eslabón’ más frágil siempre es el factor humano, bien por deslealtad, bien por ignorancia.

Del mismo modo que es fundamental la formación hacia el interior de la empresa (empleados), es muy conveniente la divulgación hacia el exterior de la empresa (clientes actuales y Sociedad en su conjunto, es decir: posibles clientes nuevos). En un contexto de desconfianza sobre el tratamiento de los datos personales por las empresas, éstas tienen que hacer un esfuerzo de pedagogía.

Una versión “Barrio Sésamo” del RGPD

Por todo ello, es imprescindible que todas las empresas vayan avanzando en la formación interna y divulgación externa de sus buenas prácticas en el tratamiento y protección de los datos personales de sus clientes, proveedores y empleados. Para lo cual es imprescindible ‘traducir’ el RGPD a una versión “Barrio Sésamo”, que pueda entender cualquiera sin conocimientos de Derecho.

Esto es algo más que cumplir con el ‘deber de información’ que impone el RGPD a los responsables y encargados del tratamiento. “El principio de transparencia exige que toda información y comunicación dirigida al público o al interesado sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro y, además, en su caso, se visualice” (considerandos 39 y 58 y artículo 12).

El RGPD prevé, incluso, la posibilidad de facilitar la información mediante iconos: “La información podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente” (artículo 12.7).

Tecnología y Pedagogía

Miguel de Unamuno escribió -en 1902- una novela (o, mejor dicho, una ‘nivola’) titulada “Amor y Pedagogía”, en la que “cuenta la historia de un intelectual que cree que puede convertir un niño en genio aplicando los principios modernos de la pedagogía y constituye una dura crítica a la sociología positivista, intercalando lo cómico y lo trágico”, y enfrentando ambos elementos.

En un guiño a dicha obra, hace ya muchos años titulé mi blog “Menos tecnología y más pedagogía”, porque en él intentaba y sigo intentando explicar, de manera clara y sencilla, accesible e inteligible para los que no son tecnólogos, los temas relacionados con la Sociedad de la Información y las ‘nuevas’ Tecnologías de la Información y de la Comunicación.

Hoy ese esfuerzo pedagógico es más necesario que nunca, porque al lenguaje tecnológico hemos unido la complejidad del lenguaje jurídico; especialmente en materia de protección de datos, que parece algo inaccesible para el gran público. Hay que dedicar tiempo (y recursos) a la formación y a la divulgación del RGPD, porque estamos hablando de derechos fundamentales de todos los ciudadanos.