Una visión optimista del GDPR en su primer cumpleaños

Todos recordamos el contexto previo al día 25 de mayo de 2018. GDPR estaba de máxima actualidad y los medios de comunicación dedicaban espacios para informar con mayor o menor rigor, y casi hasta la saturación, sobre las novedades más relevantes del Reglamento Europeo.

El 25 de mayo de 2018 es una de esas fechas clave que se instalan, sin aceptar las cookies, en la memoria colectiva. Pero… ¿qué ha sucedido después?, ¿se han cumplido las expectativas generadas?

El discurso del miedo. Expectativa versus realidad

El Reglamento Europeo de Protección de datos eleva significativamente las sanciones económicas en caso de incumplimiento.  Esta es una realidad que las compañías afrontaron con cierto temor y preocupación, sin embargo ¿es lo más relevante?

Tiende a triunfar el discurso del miedo, el que anuncia la imposición de grandes multas, ante discursos más optimistas que subrayan la ventaja competitiva que supone para las compañías la correcta implementación del Reglamento.

Este breve periodo de tiempo de tan solo un año nos muestra una realidad en la práctica algo diferente a la expectativa generada, un escenario más positivo si nos centramos en adaptarnos al cambio, en promover acciones de responsabilidad proactiva y en aprender de aquello que sucede en nuestro entorno.

No acabo de encontrar la ventaja en el discurso del miedo porque paraliza y, precisamente, estamos en el momento de pasar a la acción. Personalmente confío mucho más en la pedagogía, la concienciación y la prevención. No se trata de obviar el régimen sancionador, sino de comprender los principios que lo inspiran para anticiparse a él.

Aprender de nuestro entorno más cercano

Las autoridades de control europeas han materializado sus primeras sanciones o inicio de investigaciones, y no sólo han sancionado a compañías como Facebook y Google. Repasemos las más significativas;

¿Qué podemos aprender de estas lecciones?

Principalmente dos cuestiones; el incumplimiento de las obligaciones de transparencia, confidencialidad y de información o la ausencia de consentimiento serán fuertemente castigados y, por otra parte, reforzar las medidas de seguridad evitará daños mayores pero en caso de violación o brecha de seguridad, la manera en la que actuemos inmediatamente tras la brecha marcará la diferencia en la calificación de la infracción como grave o muy grave.

A día de hoy,  la Agencia Española de Protección de Datos no ha impuesto ninguna sanción significativa a las empresas bajo el marco del nuevo Reglamento europeo, si bien ya han emitido las primeras resoluciones imponiendo multas relativas a solvencia patrimonial y videovigilancia, junto con algunas resoluciones en las que simplemente realiza apercibimientos.

 ¿Qué será lo siguiente?

Sin duda, en los próximos meses se abren nuevos desafíos para las organizaciones que se verán obligadas a compaginar el proceso continuo de adaptación al novedoso sistema de protección de datos con las obligaciones que se establecen en la reciente Ley de Secretos Empresariales, las dudas que genera el Brexit y el futuro Reglamento ePrivacy.  

Aquellos modelos de negocio que no se adapten al nuevo entorno quedarán obsoletos, viejos y fuera de mercado. Por el contrario, aquellos modelos de negocio que sepan aprovechar la oportunidad gozarán de suficiente ventaja competitiva.

La tendencia es imparable, por tanto, lejos de temer porque la normativa impacte en nuestros modelos de negocio hasta ahora conocidos, pasemos a la acción, analicemos y diseñemos nuestros modelos de negocio considerando el impacto en privacidad, actuemos bajo el principio general de responsabilidad proactiva y disfrutemos de las ventajas de la correcta implementación.

GDPR cumple un año. Felicidades.