En los cinco años transcurridos desde la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea, ¿cuáles han sido los principales aprendizajes para las empresas y cuál será el futuro? Hacemos balances de los primeros 5 años del RGPD.
El 25 de mayo de 2023, el Reglamento General de Protección de Datos de la Unión Europea cumplió 5 años desde su entrada en vigor.
Para quienes nos dedicamos al mundo de la protección de datos es un aniversario importante y un momento para reflexionar sobre los grandes cambios que generó esta legislación histórica.
¿Qué hemos aprendido en los últimos cinco años? El RGPD convirtió al bloque europeo en líder en política digital y otorgó a los ciudadanos amplios derechos sobre cómo se usan sus datos. Pero su implementación ha sido, y sigue siendo, un proceso largo y, con desafíos.
Cuando entró en vigor en 2018, muchas empresas lucharon por comprender qué se requería y cómo debían cambiar. Los reguladores respondieron brindando orientación y colaborando con las empresas para ayudarlas a comprender lo que se esperaba de ellas.
En 2020, entramos en una nueva era de cumplimiento con multas multimillonarias en euros emitidas a empresas internacionales.
En los últimos cinco años, las organizaciones han desarrollado una comprensión mucho más sofisticada del campo de la protección de datos. Muchos ahora comprenden los beneficios de cuidar sus datos, incluidas las medidas que demuestran su responsabilidad.
Las empresas también han aumentado su inversión en esta área y ahora es un tema clave en muchas empresas. Pero si bien la comprensión del RGPD ha mejorado, los problemas clave en torno a su interpretación y aplicación están lejos de resolverse.
Los últimos cinco años han demostrado que la protección de datos en Europa es un área dinámica que requiere que las empresas e instituciones sean ágiles
Para celebrar los 5 años del RGPD, reunimos algunas de las grandes lecciones que hemos aprendido de los primeros cinco años de implementación
5 años del RGPD: 5 lecciones que ha dejado a las empresas
1.- Estar dispuesto a adaptarse
Cuando se introdujo el RGPD, muchas empresas asumieron que podían crear una política de privacidad, archivarla y luego olvidarse de ella en gran medida. Pero el RGPD está en constante evolución.
Vemos que surgen nuevas tecnologías, como la inteligencia artificial, se emiten nuevas directrices a nivel nacional y de la UE y nuevos casos de protección de datos llegan a los tribunales. Significa que las empresas deben estar preparadas para adaptar sus políticas y gobernanza de forma continua.
2.- Toma nota del contexto local
Cuando se introdujo por primera vez el RGPD, muchos líderes empresariales esperaban que proporcionase un enfoque coherente y armonizado para la protección de datos en toda Europa.
En muchos sentidos, lo ha logrado. Las empresas ahora tienen más claridad sobre lo que se espera de ellas, particularmente cuando se trata de ser transparentes sobre cómo se utilizan los datos y qué consentimiento del cliente se necesita para recopilar datos personales.
Pero todavía hay muchos matices en la forma en que las diferentes autoridades nacionales de protección de datos interpretan el RGPD, investigan las infracciones e identifican temas emergentes.
Por ejemplo, los reguladores locales de Alemania, España, Francia y Bélgica publican periódicamente sus propias directrices sobre temas específicos del RGPD. Mientras que, en Luxemburgo e Irlanda, los reguladores han adoptado un enfoque más no intervencionista.
3.- Tener una estrategia para las investigaciones
Las multas del RGPD pueden ser asombrosamente grandes si las empresas no cumplen con las reglas. Las sanciones dependen de la facturación anual global de la empresa, que puede englobar el grupo de empresas al que pertenece la entidad que infringe el RGPD.
Las órdenes de ejecución también pueden afectar las operaciones comerciales, los modelos comerciales, la confianza del cliente y la reputación de la empresa.
Esta es una razón suficiente para que las empresas se tomen en serio sus obligaciones de protección de datos, pero en los últimos años hemos visto cómo las investigaciones en una jurisdicción pueden convertirse potencialmente en un problema comercial mucho más grande.
Las investigaciones de alto perfil pueden inspirar a los reguladores de otros países a iniciar sus propias investigaciones contra una empresa.
Esto hace que sea imperativo contar con una estrategia transfronteriza eficaz para hacer frente a una investigación lo antes posible. A veces, las multas o los juicios por incumplimiento pueden evitarse por completo mediante un compromiso efectivo con el regulador en una etapa temprana.
4.- Equilibrar los requisitos de todas las legislaciones vigentes
El RGPD se ha asegurado de que los problemas de privacidad estén en la agenda de todos los líderes empresariales, pero la protección de datos no opera en un silo.
Las organizaciones deben cumplir con todos sus requisitos de protección de datos y equilibrar esto con las demás demandas que les impone la legislación específica de la industria e incluso sus propios empleados.
Esto no siempre es fácil. Por ejemplo, algunas organizaciones están bajo presión para recopilar y publicar datos sobre la diversidad de su fuerza laboral, pero esto puede estar en desacuerdo con lo que dice el RGPD sobre la recopilación de datos confidenciales de los empleados.
5.- Mirar a la UE para ver cómo evolucionará la gobernanza digital
El RGPD no solo ha sido un hito en la legislación dentro de la UE, su efecto se ha sentido en todo el mundo.
Los legisladores de todo el mundo observan de cerca el diseño y la implementación del RGPD. Si bien ha habido debates sobre el coste del cumplimiento y si se necesita un enfoque más basado en el riesgo en algunos países, la adopción del RGPD por parte de la UE ha llevado a muchos países a repensar su enfoque de la protección de datos.
En términos más generales, el éxito del RGPD ha significado que la UE ahora sea vista como pionera en lo que respecta a la protección de los derechos digitales.
Los problemas de privacidad son cada vez más importantes a medida que gran parte de nuestra vida es online y las nuevas tecnologías, como la inteligencia artificial, pasan a primer plano.
Por lo tanto, los líderes empresariales de todo el mundo deben seguir atentos a la evolución de los problemas digitales y de privacidad en la UE si quieren comprender cómo puede cambiar su propio mercado en los próximos cinco años.
Estas son algunas de las principales enseñanzas que nos dejan los 5 años del RGPD.