Estamos en un momento trascendental. Un tiempo de cambio en el que la tecnología -big data, 5G, IoT, IA, etc.- está transformando el modelo de relación de las personas con su entorno y en el que la normativa alcanza un papel relevante. Ahora se cumple un año de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP), que actualizaba la normativa española al GDPR.
La aprobación del GDPR supuso un cambio de paradigma en España: se evolucionaba de una norma con supuestos tasados y medidas concretas que explicitaba las tipologías de datos y su tratamiento a un enfoque basado en el análisis, la medición del riesgo y la fijación de criterios ajustados a cada tratamiento. Por ello, las organizaciones se han adaptado a los nuevos requerimientos, centrándose en el modelo de gestión del cumplimiento, la definición y aplicación de medidas de seguridad y la gestión de terceros.
En relación con el modelo de cumplimiento, al trabajar con una normativa basada en que cada organización mida sus propios riesgos y defina las medidas que considera adecuadas, se crea la necesidad de evidenciar ese análisis realizado, los criterios definidos y la razonabilidad de las medidas aplicadas. Esto es más complejo que seguir unas medidas concretas, lo que ha llevado a una mayor exigencia de profesionales especializados y con mayor capacidad de decisión e influencia en las organizaciones.
Respecto a las medidas de seguridad, el GDPR no indica las medidas a implantar y traslada la responsabilidad de seleccionarlas e implantarlas a las organizaciones. En contra posición, sí exige que se demuestre que las medidas adoptadas están ajustadas al riesgo que entraña el tratamiento. Una vez más, esto es más complejo que seguir unas medidas concretas y requiere una mayor especialización. Otro punto clave es la gestión de terceros. Tras GDPR, hay que evidenciar que la selección de prestadores de servicio es adecuada, que se les indican sus obligaciones concretas y que se supervisa que las cumplen.
En este sentido, se observa en las organizaciones una tendencia a buscar una garantía de cumplimiento en los proveedores, a través de la homologación y certificación de los mismos. Existe una gran expectación sobre el esquema de certificación de personas jurídicas que se prevé publique la AEPD, ya que impactará considerablemente en el mercado y obligará a los prestadores de servicios a demostrar su nivel de complimiento del GDPR.
Ahora se cumple un año de la aprobación de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP), que actualizaba la normativa española al GDPR
Inevitablemente, todo esto está suponiendo importantes cambios en el modelo de gobierno de las compañías para dar cumplimiento a este reglamento, y se ha pasado a una estructura orientada a la gestión y con mayor influencia en la organización para poder considerar el cumplimiento del GDPR en la toma de decisiones y en el diseño de estrategias para el acercamiento a los clientes.
Transcurrido un año, lo que observamos en las organizaciones es una mayor concienciación del significado de la privacidad y una sofisticación y formación de los profesionales que trabajan en GDPR, así como un incremento de la relevancia que las organizaciones conceden a la privacidad. No obstante, todavía queda mucho trabajo por hacer en este escenario actual, tecnológicamente complejo y cambiante.
