El calvari d’adaptar-se a l’RGPD
Després de gairebé dos anys des de la promulgació al Parlament Europeu del nou Reglament (UE) 2016/679 de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals, més conegut com a Reglament General de Protecció de Dades (RGPD), finalment el passat dia 25 de maig es va produir la seva entrada en vigor. Això suposa que l’RGPD és ja plenament aplicable a tota la Unió Europea.
El nou RGPD dona una resposta al buit legal que existia en molts països europeus en la captació i el tractament de dades de caràcter personal, perquè tot i que les lleis nacionals venen disciplinant la protecció de dades de les persones físiques, la tecnologia va sempre diversos passos per davant de l’ordenament jurídic dels Estats i constantment provoca qüestions legals en escenaris de protecció de dades que no han estat contemplats legislativament i que requereixen unes normes legals específiques. L’RGPD afecta qualsevol organització, empresa o professional que operi a la Unió Europea, i fins i tot a aquelles que, estant fora de la UE, operin amb dades de ciutadans europeus.
L’RGPD és el marc regulador amb el qual la UE facilita la transició a la nova societat digital, garantint la protecció dels usuaris que siguin persones naturals en matèria de privacitat i seguretat de la seva informació personal. El punt de partida és una definició nova del que és una dada personal, ja que qualsevol informació que fins i tot de forma indirecta permeti identificar de forma unívoca a un usuari, és també considerada una dada personal; per exemple, un correu electrònic, una IP o un codi d’usuari.
Aquesta norma emanada de l’ordenament jurídic de la Unió Europea ha arribat per atorgar als ciutadans més control sobre la recopilació i utilització de les seves dades personals a internet i reforçar la protecció en cas d’una filtració de la informació; tots ells uns nobles i lleials propòsits que comparteixo plenament.
L’RGPD estableix que el consentiment de l’interessat ara ha de ser explícit; és a dir no pot ser tàcit i amb una base jurídica explicada de forma concisa i mai sobreentès. Per defecte, si no s’ha donat el consentiment exprés, lliure, inequívoc i informat, aquest no és vàlida; o sigui no existeix. A partir d’aquest precepte l’RGPD desenvolupa tota una metodologia operativa de compliment per a les empreses, que poden ser auditades periòdicament. El protocol en el nou tractament de les dades personals dels europeus inclou anàlisi d’impacte i de risc, certificacions, registres de tractament de la informació i protocols de comunicació a les autoritats en cas de violacions de seguretat. Les multes en cas d’infracció poden arribar als 20 milions d’euros o el 4% de la facturació d’una empresa, quantitats en tots dos casos molt elevades.
L’adaptació a l’RGPD ha suposat un repte molt important per a les empreses europees, per no dir passar per un calvari. La implementació de la normativa en les empreses implica un pla de transformació, amb actuacions a nivell de processos, gestió del canvi, formació del personal i dels càrrecs directius, estructura organitzativa de les corporacions, gestió de dades estructurades i desestructurades, analítica en els canals on es capten dades, i per descomptat, protocols de seguretat i comunicació dels esdeveniments de ruptura de la seguretat. El pla integral per a una implantació reeixida de l’RGPD ha requerit una ingent activitat a molts nivells de l’organització que s’havia d’haver iniciat un any abans del termini màxim atorgat per la UE i que era el 25 de maig. No obstant això, moltes empreses al sud d’Europa han esperat fins als últims mesos per posar en marxa el pla d’adaptació a l’RGPD i algunes han esperat fins al penúltim dia per sol·licitar als interessats que integren les seves bases de dades la confirmació del seu consentiment per romandre en els registres a partir del dia 25. Això ha ocasionat un curiós fenomen que durant els últims dies milions de ciutadans del sud d’Europa van veure les seves aplicacions de missatgeria electrònica inundades per una allau de correus electrònics en els quals se’ls sol·licitava el seu consentiment exprés per conservar les seves informacions en les bases de dades i, per exemple, seguir rebent els butlletins informatius que envien les editorials amb les novetats que es publiquen cada mes.
Sense cap dubte, el nou Reglament europeu de protecció de dades servirà per donar més confiança als ciutadans residents a la UE a l’hora de compartir les seves dades a la xarxa, mitjançant, per exemple, les compres en línia, la subscripció a un butlletí, o en l’ús de les xarxes socials. L’RGPD ajuda a controlar la utilització que fan les organitzacions de les dades personals que recopilen i garanteix els procediments necessaris per protegir-los. Els ciutadans europeus podran obligar les empreses que els han inclòs en les seves bases de dades de clients que donin de baixa la informació que tinguin de les seves dades personals; per exemple, per deixar de rebre publicitat no desitjada. A més, tindran un nou dret: el de sol·licitar la portabilitat de dades; aquest dret faculta l’interessat a dret a reclamar les seves dades personals emmagatzemades per les companyies proveïdores del servei a la xarxa si volen canviar a una nova; per exemple, un lector subscrit a un diari salmó sol·licita al responsable totes les dades que té sobre ell.
No obstant això, l’adaptació de les empreses als preceptes que ha imposat l’RGPD ha estat dificultosa i costosa. El text de l’RGPD no estableix diferenciacions entre les bases de dades que pugui tenir un professional per enviar una newsletter mensual i la informació registrada consisteixi únicament en una direcció de correu electrònic i els que pugui tenir una multinacional que guarda moltes dades personals dels seus clients. En conseqüència, les microempreses, autònoms i professionals europeus han hagut de complir els mateixos requisits quant als seus deures com a responsables del tractament de dades que una multinacional; el que ha suposat una inversió de temps i diners, així com passar una fase de dubtes, incerteses i pors. Hauria estat desitjable establir per als autònoms i professionals de la UE un règim simplificat d’adaptació a l’RGPD, però els polítics europeus no han estat per la labor.