Habiendo pasado un tiempo más que prudencial y como hemos analizado estas últimas semanas en nuestra serie de artículos “RGPD: cinco años después”, podemos afirmar que la madurez de las organizaciones ha incrementado de manera muy sustancial. Así lo muestran tanto el hecho que a principios de año se haya superado el número de 100.000 delegados de protección de datos (DPD) designados por las organizaciones españolas ante la Agencia Española de Protección de Datos (en adelante, la “AEPD”) o que, según se recoge en la “Memoria Anual 2022” de la AEPD, pese a haberse incrementado en 2022 un 46,5% el número de reclamaciones a la AEPD con respecto al año 2021, el volumen de las sanciones impuestas a las organizaciones ha disminuido un 41% con respecto al año anterior.
De acuerdo con lo anterior, son numerosas las lecciones aprendidas durante estos primeros 5 años de la aplicación del RGPD, por lo que pasamos a continuación a repasar aquellas que consideramos más destacables:
No existe una única forma de cumplir la normativa en materia de protección de datos
La primera de ellas es que no existe una única forma de cumplir la normativa en materia de protección de datos, sino que existen tantas formas como circunstancias o factores concurran en el tratamiento de los datos. Ello se debe a la flexibilidad dada por la norma al, a diferencia del sistema anterior y salvando algunas excepciones, incluir obligaciones de resultados y no de medios.
Es decir, la norma obliga a las organizaciones a asegurar el cumplimiento de ciertos principios como serían los de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; responsabilidad proactiva y privacidad por defecto y desde el diseño, pero no establece las medidas que deben implementar para asegurar el cumplimiento de los mismos. Un ejemplo de dicho cambio de paradigma sería el relativo a las medidas técnicas y organizativas a implementar por las organizaciones para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los datos que tratan, respecto a las que la normativa anterior especificaba las medidas a implementar, mientras que la normativa actual obliga a determinarlas por parte de las organizaciones en base a un enfoque de gestión de los riesgos a los que se encuentran expuestos.
El papel del DPD es esencial pero necesita de colaboración de las otras áreas implicadas
El papel del oficial de protección de datos o DPDque es la figura que vela por el cumplimiento del RGPD y la LOPDGDD, es esencial si bien, no se debe considerar que la responsabilidad del cumplimiento de dicha normativa recae únicamente sobre el mismo.
Por un lado, los departamentos que prestan servicios interno como tecnología o ciberseguridad son imprescindibles en el apoyo de ciertos procesos de privacidad como pueden ser las evaluaciones de impacto (EIPDs), la homologación de proveedores a los que se recurra o la gestión de brechas de protección de datos. Por otro lado, las áreas de negocio deberán contar con la información y formación suficientes para acudir o solicitar soporte del DPD, oficinas de privacidad o los equipos de protección de datos cuando identifiquen un nuevo tratamiento o quieran poner en marcha una iniciativa que suponga el tratamiento de datos personales.
Es fundamental determinar desde un inicio la base jurídica de cada tratamiento
Con la introducción de distintas bases jurídicas del tratamiento en el RGPD, la metodología para la elaboración de los planes y políticas de protección de datos de las organizaciones tomó nueva forma, pues, consecuentemente, el paso previo a la observancia de las restantes obligaciones previstas en la normativa y, evidentemente, a la realización de cualquier tratamiento, ha pasado a ser la identificación de la base legitimadora del mismo.
Artículo fuente