Para la mayor parte de nuestra sociedad es posible que el 25 de mayo sea un día más, con sus quehaceres cotidianos. De hecho, es posible que la mejor noticia del día, -discúlpeme eldiario.es-, es que no haya noticias. Que nada nos sobresalte y nos deje sin resuello. Tal vez así, no se cumplirá el vaticinio de Mafalda y por una vez lo urgente nos dejará tiempo para lo importante.
El 25 de mayo se aplicará plenamente el Reglamento General de Protección de Datos (RGPD). Las lectoras y los lectores probablemente se habrán dado cuenta al haber recibido no menos de 10 mails en los que alguien les dice “Vd. debe leer esta información y consentir en que tratemos sus datos”. El tono ya es otra cosa, quien escribe ha recibido mensajes de todo tipo, desde el aséptico “en cumplimiento de”, hasta el educadamente amenazante “si no acepta ya nunca más…”, pasando por el lastimero “lamentaríamos perderte”. Pero todos ellos ponen de manifiesto un elemento nuclear: la norma empodera a las personas. Es probable, que el RGPD cambie en parte nuestras vidas, aunque no lo notemos. Cabe intuir que seguiremos sin leer ni una sola vez una política de privacidad e incluso nos parecerán molestas.
Sin embargo, las cosas ya nunca serán igual. En primer lugar, porque ahora existe una única norma para toda la Unión y con un poder de disuasión altamente coactivo. Quienes traten nuestros datos ya no podrán escoger el país más benévolo, y cuando se trate de servicios de la sociedad de la información no podrán alegar que se encuentran fuera de la Unión Europea para no sentirse obligados. Además, ya no podrán hacerse cálculos de rentabilidad con la infracción. Ya no será rentable infringir cuando el límite sancionador alcanza los veinte millones de euros o el 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Este poder coactivo va a producir un fuerte efecto de arrastre mundial rediseñando las condiciones de cumplimiento normativo y alineándolo con el estándar europeo. Y esto implica un entendimiento del derecho fundamental a la protección de datos como un derecho prestacional, cuyo objetivo final no es proteger “los datos”, sino garantizar la seguridad, la privacidad y los derechos de las personas. En la UE se imponen deberes a quienes tratan datos de los que ya no se espera una actitud reactiva, sino que se les exige una responsabilidad proactiva.
Esto implica mejoras sustanciales en la trastienda, en aquello que no vemos. Cualquier aplicación, cualquier negocio o procedimiento, que trate datos personales debe construirse desde la protección de datos desde el diseño y por defecto. La empresa o Administración debe asegurar que se incorporan los datos estrictamente necesarios, debe verificar todos los riesgos subyacentes y adoptar medidas para evitarlos. Esto supone, que nuestros datos deberían ser de mayor calidad y su seguridad estar lo más garantizada posible. Y, por tanto, los procesos deben mejorar, las decisiones deben ser más adecuadas y los servicios que recibamos mejor diseñados. Y no sólo esto, cuando el tratamiento de los datos genere riesgos significativos deberán realizarse evaluaciones de impacto en la protección de datos que aseguren evitarlos.
Además, la norma empodera a las personas. La información debe ser sencilla, accesible y por capas, de modo que entendamos rápidamente qué se pretende y podamos profundizar. Los consentimientos serán segmentados, ya no aceptaremos todo de un plumazo, sino cada finalidad por separado. Además, se exigirá una acción afirmativa, habrá que aceptar, clicar o firmar, y desaparecen los sistemas de opting-out. Vamos a saber durante cuánto tiempo o con qué criterio se tratarán nuestros datos. Y cuando un incidente de seguridad pudiera suponer un peligro grave para nuestros derechos deberemos ser informados.
Los objetivos del Reglamento son ciertamente hercúleos y se enfrentan a una realidad que, sin embargo, es tozuda. Hemos asistido en los últimos tiempos a pérdidas masivas de datos, manipulación de nuestras preferencias en redes sociales, espectaculares ataques de ramsonware… De hecho, se especula con que tras algunos de los mensajes informativos vinculados al Reglamento se encuentren estafas de phising. La norma europea influirá significativamente en la producción de buenas prácticas, pero el riesgo inherente a la sociedad de la transformación digital persistirá y se requiere el empoderamiento de las personas desde la educación.
Por otra parte, resulta imprescindible que determinadas entidades operen como prescriptores. Uno de los efectos que venimos constatando los expertos deriva del compromiso de determinadas empresas con el Reglamento. Desde hace unos meses, grandes empresas vienen señalando a sus proveedores que o cumplen con el RGPD o deberán prescindir de sus servicios. Y esta influencia se extiende como una mancha de aceite a los subcontratistas y terceros. De otro lado, resulta extraordinaria la labor divulgadora de todas y cada una de las autoridades de protección de datos de la Unión, cuyo personal se encuentra al borde de la extenuación.
No resulta tan alentador sin embargo el panorama de las administraciones públicas. Debe destacarse la extraordinaria labor del equipo de trabajo de la Federación Española de Municipios y Provincias. Sin embargo, queda mucho camino por recorrer en muchas administraciones. No bastará con nombrar o externalizar delegados. El Reglamento exige un compromiso ético con la garantía de los derechos y una implicación profunda que esta llamada a chocar en muchas administraciones con una proverbial resistencia al cambio.
Quienes no conciban la implementación del Reglamento como una inversión deben ser conscientes de su error. La transformación digital no será viable sin el cumplimiento del RGPD. Sin él no habrá administración electrónica, ni inteligencia artificial, ni analítica de datos, ni internet de los objetos, ni smart cities. No bastará por tanto una aproximación meramente formal, epidérmica, que no moleste. Nos enfrentamos a profundas reingenierías de procesos que cambiarán el modo de gestionar la información, y lo cambiarán para mejor.
No sólo protegemos datos, protegemos personas. Y en la época en la que nos toca vivir, en la sociedad de la transformación digital, el derecho fundamental a la protección de datos constituye el primer baluarte defensivo de nuestras libertades. No lo olviden.