Todavía recuerdo la noche del 24 al 25 de mayo de 2018 en una sala de servidores con el equipo informático del lugar donde yo trabajaba por aquel entonces “chutando” miles de mails para recabar los miles de consentimientos de los miles de personas que formaban parte de las innumerables bases de datos que manejábamos por aquel entonces. Todo con un rudimentario sistema ideado por aquel equipo de IT que tuvo el mérito de entender que un cambio legislativo les iba a quitar el sueño durante días. Porque a pesar de tener dos años para adaptarnos al nuevo Reglamento General de Protección de Datos (RGPD), todos hicimos el sprint en el último momento.
También recuerdo el aluvión de mails que nos llegaron a todos (el interés legítimo era por entonces un auténtico desconocido) y los chistes para “frikis” de la protección de datos que se viralizaron esos días. Y parece mentira, pero se cumplen tres años de aquella fecha y, al menos en mi experiencia, parece que llevemos toda la vida conviviendo con el RGPD.
Y no solo porque lo consulto a diario para realizar mi trabajo, y al final el roce hace el cariño, sino porque tengo la sensación de que la aplicación del RGPD ha calado de manera trasversal a todas las organizaciones y también a todos los usuarios. Quien más o quien menos sabe que existe una normativa de protección de datos que hay que tener en cuenta para tomar determinadas decisiones, y los ciudadanos somos cada vez más conscientes de que somos titulares de un derecho que debe ser respetado por los terceros que manejan información sobre nosotros. Y sólo esa función de concienciación y de sensibilización de la existencia de este derecho fundamental, me parece un logro que, por otra parte, la LOPD del 99 no fue capaz de cumplir en casi 20 años de vigencia.
Así que creo que estamos de enhorabuena. Más allá de que aún quede camino por recorrer para que el 100% de las organizaciones sean conscientes de la importancia de destinar recursos a “eso de la protección de datos”, en mi opinión, las pymes, que en principio eran las grandes olvidadas de una normativa que parecía pensada solo para los grandes, van aprendiendo a “traducir y adaptar” el RGPD a sus dimensiones. Es justo reconocer también en este aniversario el trabajo ímprobo que la Agencia Española de Protección de Datos (AEPD) – y las demás autoridades de control europeas – han hecho para dotarlas de herramientas para poder cumplir con las obligaciones básicas de documentación y control de ese cumplimiento y también, cómo no, el de tantos profesionales de la privacidad y la protección de datos que realizan funciones de formación para poder trasladar la importancia de una correcta adecuación.
Ahora bien, y sin ánimo de resultar agorera, también es cierto que las autoridades de control parecen haber decidido que tres años es un tiempo más que suficiente para adaptarse al gran cambio que supuso la entrada en vigor del RGPD y se han puesto las pilas imponiendo sanciones que, en el caso concreto de la AEPD, solo en lo que va de año ya suponen un 500% más (23 millones de euros) que las que había impuesto entre 2018 y 2020. Este espectacular aumento de sanciones nos hace estar alerta frente a lo que parece ser una tendencia que nos acerca mucho a lo que ocurre en otros países europeos y que parece que seguirá siendo así ahora que se han cerrado todos los procedimientos sancionadores que se seguían en base a la antigua LOPD, que era más benévola. Si bien es cierto que muchas de las sanciones han sido impuestas a grandes compañías y ascendían a cantidades millonarias (Vodafone, Caixabank o BBVA), un dato importante es que España lidera el ranking de número de sanciones (222 sanciones siendo el siguiente en la lista Italia con 73 sanciones). La lectura que se desprende de esta estadística es que la AEPD ha iniciado una frenética actividad de investigación y que, una vez dotada de los recursos necesarios, tiene la capacidad para resolver un gran número de procedimientos que afectan a responsables del tratamiento de todo tipo y condición. Por lo tanto, estemos atentos. Sin duda alguna, la mejor manera de celebrar el cumpleaños del RGPD es dándole cumplimiento. No es lo mismo ir a una fiesta con los deberes hechos, que ir a una fiesta y tenerlos que hacer después.