RGPD: día 1

RGPD: día 1

Llegó el día en que el RGPD se hizo realidad

Finalmente el pasado viernes 25 de mayo, coincidiendo con el Día del Orgullo Friki, entró en aplicación el RGPD. Hoy es el primer día laborable tras esa puesta en aplicación y quizás sea un buen momento para hacer un análisis a lo que ha supuesto, para los profesionales del sector lo que posiblemente haya sido el mes más intenso de nuestras carreras.

Aunque voy a hablar desde mi propio punto de vista, que no tiene porqué ser extensivo al resto de consultores, si que me consta que muchos hemos pasado por unas semanas muy duras. Aquí os dejo algunas consideraciones que me gustaría comentaseis según vuestra experiencia:

  • A pesar de todo el trabajo de comunicación que la Agencia Española de Protección de Datos ha venido haciendo desde la entrada en vigor en 2016 del RGPD, como siempre, las empresas y profesionales españoles hemos llegado tarde, mal y con prisas a cumplir con un reglamento que necesita de un sosegado análisis para que su implantación dentro de cualquier estructura sea eficaz.

  • Tampoco se libra el legislador, que pese a haber tenido dos años para adecuar el marco legal, ha dejado para última hora la aprobación de la ley que iba a actualizar a la actual LOPD, que sigue en vigor (no lo olvidemos), lo que nos lleva a tener todavía en fase de enmiendas el borrador de la nueva LOPD, después de su discusión en el senado hace unas semanas. En resumen y según cuentan en los mentideros de la capital, hasta el último trimestre del 2018 es poco probable que tengamos nueva ley que de soporte al RGPD.

  • Tal como he podido constatar hablando con compañeros de profesión, los consultores hemos dedicado más horas y esfuerzo este último mes a la pedagogía y a tranquilizar a los clientes que realmente a tareas de consultoría pura y dura. Han sido semanas de responder decenas llamadas y correos, haciendo entender a la gente que el día 25 de mayo no se va a iniciar una oleada de denuncias y sanciones.

  • No ha cambiado en exceso nada con el RGPD. Lo que estaba prohibido hasta el 24 de mayo, sigue estando prohibido y lo que estaba permitido, sigue estándolo. Si que cambia la forma de hacer las cosas con la información, pero sigue sin poderse tratar la información personal de los usuarios, sin tener permiso para eso.

  • Uno de los temas estrella de los últimos días han sido los famosos correos que todos hemos recibido, de diferentes empresas y plataformas online, informándonos sobre el cambio de políticas de privacidad que habían llevado a cabo. Las políticas de privacidad por definición son algo vivo y están sometidas siempre a actualizaciones y cambios, en el momento que hagamos un nuevo uso de la información que recopilemos o usemos algún tipo de herramienta nueva de terceros para esa gestión. No había que avisar del cambio el día 24 de mayo, sino tenerlas siempre actualizadas.

  • Otro correo estrella que hemos recibido ha sido el que nos pedía reconfirmar nuestro consentimiento para el tratamiento de nuestra información en diferentes plataformas o empresas que tenían nuestros datos. Esto ha sido de nota y el motivo de alguna agria discusión con los clientes (al menos por mi parte), al respecto de su envío. Un cliente me recriminaba el pasado 24 de mayo que no le hubiera dicho que tenía que enviar ese correo que está recibiendo por todas partes.

  • Vamos a analizar este tema en concreto. Si el consentimiento se recogió en su momento de forma adecuada y comprobable o es fruto de una relación contractual… no hace falta volver a recogerlo. Si en su momento no se recogió el consentimiento de forma adecuada no era válido, por tanto el solo hecho de enviar un correo para pedir de nuevo ese consentimiento, es una infracción. Por tanto, si no recogimos bien el consentimiento, no me puedo pedir que lo reconfirmen y si lo recogimos bien, no hace falta que vuelva a decir que si.

  • Otra situación en la que me he visto estos días e imagino que otros compañeros también, es la de confirmar un proyecto el día 21 de mayo y preguntar si el 25 estará todo listo para el cumplimiento del RGPD. Al plantear el calendario de trabajo, muchos clientes decían: ¡Llegaremos tarde!, a lo que había que responder ¡Llegamos dos años tarde!. Un adecuado trabajo de análisis de la gestión de la información, tiene por fuerza que pasar por unas fases y plazos para analizar, comprobar y validar que esta gestión se hace bien. No se puede andar corriendo para poner en marcha unos procedimientos adecuados, comprensibles y que afectan a toda la estructura, para el cumplimiento de una obligación legal.

En resumen, no quiero que esto sea un listado de quejas, sino una muestra de las múltiples situaciones en las que los consultores nos encontramos en nuestro día a día. Las prisas siempre han sido malas consejeras y en el tema del RGPD todavía más.

Empieza ahora una época apasionante para el mundo de la privacidad en la que todos, empresas y consultores, tendremos que acostumbrarnos a trabajar con nuevas normas y obligaciones y haciendo que el encaje sea lo más suave posible.

Photo by Free Grunge Textures – www.freestock.ca on Foter.com / CC BY

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *