Han pasado más de cuatro años y medio desde Entró en vigor el GDPR. El cumplimiento ha pasado a la lengua vernácula, a la cultura y a las prácticas cotidianas de las organizaciones. El problema con esto es que, para algunas organizaciones, también ha pasado a un segundo plano.

¿Todo el mundo respeta el GDPR o algunos confían en que, tras haber marcado todas las casillas correctas en su introducción, sus marco de gobernanza los cubrirá? El RGPD no es una responsabilidad que pueda descartarse solo por el hecho de haber establecido políticas y procedimientos. Es como ese cartel molesto que se ve a menudo en las explanadas de las estaciones de servicio: «¿Has revisado el aceite?» ¿Con qué frecuencia muchos de nosotros nos damos cuenta, cuando vemos la señal, de que no lo hemos hecho durante mucho tiempo? ¿Cuántas organizaciones, por ejemplo, tienen una visión segura de lo que sucede en lo más profundo de sus sociedades datos no estructurados?

Quizá sea el momento de un servicio de 10 000 millas. Hay una razón para esa «R» en las siglas del RGPD: es algo que tienes que hacer. Está regulado, lo que significa que está sujeto a controles aleatorios y, como Microsoft podría ser de los primeros en decirte, estos controles no son solo estéticos, sino que van más allá: «»Microsoft 365 se enfrenta a nubes cada vez más oscuras de cumplimiento del GDPR tras un informe alemán».

Los principios fundamentales del GDPR

A modo de recordatorio, los siete principios oficiales del GDPR, aplicables a nivel mundial, son:

• Legalidad, equidad y transparencia
• Limitación de propósito
• Minimización de datos
• Precisión
• Limitación de almacenamiento
• Integridad y confidencialidad (seguridad)
• Responsabilidad

Para que se considere sólido, el marco de gobierno de datos de cualquier organización se basa, o debe basarse, en estos principios. No se trata solo de las mejores prácticas, sino también del sentido común y, sinceramente, de la integridad corporativa o Gobernanza, riesgo y cumplimiento (GRC). El Consejo Europeo de Protección de Datos (EDPB) consideró que WhatsApp, propiedad de Meta Platforms, había incumplido la obligación de transparencia del RGPD, lo que llevó a la emisión de un Multa de 225 millones de euros del general de la Unión Europea y, en términos de «profundizar», el tribunal ahora está analizando de cerca Instagram y Facebook.

Si bien dicha aplicación se centra en proteger los derechos de la persona, sus clientes u otros terceros, es una forma infalible de proteger a la organización. No vale la pena insistir en la desventaja de no adherirse a estos principios.

Comprueba tu postura sobre el RGPD

Volviendo a la analogía del «control del aceite», si dejas tu coche a su suerte durante el tiempo suficiente, el motor se estropeará. Te maldecirás por no haber tomado las precauciones básicas para no parecer irresponsable. Te verás envuelto en enormes gastos que fácilmente podrían haberse evitado.

Desde la perspectiva de una organización, no cumplir con el RGPD al máximo equivale a bajar la guardia ante uno o más de los siete principios fundamentales del RGPD. La expresión «parecer irresponsable» puede denominarse con más peso un daño a la reputación. Para ver un ejemplo de «gastos evitables», veamos a Amazon, que, según se informa, se ha visto afectada por el la mayor multa de GDPR hasta la fecha, de 780,9 millones de dólares (746 millones de euros).

No hay nada malo en levantar el capó o abrir el capó para asegurarse de que está aplicando una estrategia de GDPR bien engrasada. Si no lo haces, podría ser muy perjudicial.

El Ley de reforma de datos del Reino Unido, que actualiza el marco del RGPD, está en marcha. Lo más probable es que esto obligue a las organizaciones a reevaluar, y posiblemente incluso realinear, las políticas y procedimientos que tienen actualmente en vigor para garantizar el cumplimiento del RGPD. Es fundamental tener en cuenta que las organizaciones estadounidenses no son inmunes al RGPD, como ilustran claramente los ejemplos de Microsoft y Meta Platform.

Si un sitio web de EE. UU. recibe visitantes de la UE, esos visitantes navegan, hacen clic e interactúan dentro de la protección total del RGPD. La forma en que se procesan sus datos personales puede estar bajo el escrutinio del RGPD, al igual que el uso de cookies.

Sin embargo, si se maneja con sensibilidad dentro de la organización, la evolución del GDPR puede presentar oportunidades en el mundo digital. Es fácil interpretar todo el campo de fuerza legal que lo rodea como restrictivo, pero si se gestiona correctamente, puede ser potencialmente liberador desde el punto de vista comercial.

Plena claridad sobre propuestas en examen incluyen (pero no se limitan a):

• La IA alcanza la mayoría de edad: «... reformas para crear más certeza para las organizaciones sobre cuándo y cómo pueden usar los datos personales de manera responsable con el desarrollo de tecnologías de vanguardia basadas en datos».
• Facilitar un mejor servicio a los clientes: «... reduciendo las cargas desproporcionadas para las empresas y ofreciendo mejores resultados para las personas en relación con el procesamiento de datos personales».
• Impulsar el comercio y reducir las barreras a los flujos de datos: «... reformas para crear un régimen autónomo de transferencias internacionales en el Reino Unido, que apoye el comercio internacional y elimine los obstáculos innecesarios a los flujos transfronterizos de datos personales».

Diseño para el futuro

En muchos sentidos, la introducción inicial del GDPR se diseñó para prevenir Big Data de perder el control; para evitar el síndrome de «El Gran Hermano te está mirando». Hemos recorrido un largo camino desde entonces 1984. También hemos recorrido un largo camino desde 2018. Ahora estamos preparados para adoptar un enfoque maduro en materia de protección de datos que reconozca que, en ocasiones, las organizaciones hacen un uso indebido de los datos, en gran medida por accidente y no por motivos deliberados. Todo lo que tiene que hacer la organización es eliminar cualquier tendencia a ser propensa a los accidentes.