Hoy, 25 de mayo, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, más conocido como Reglamento General de Protección de Datos o RGPD, cumple 5 años. En realidad, el texto se aprobó en 2016 pero no fue hasta el 25 de mayo de 2018 cuando comenzó a aplicarse. Seguramente, los lectores lo recordarán por el tsunami de correos electrónicos en su bandeja de entrada solicitando hacer clic en el botón “acepto la política de privacidad”.
Por aquel entonces, los responsables de tratamientos de datos aún no habían digerido que el consentimiento no es más que una de las seis bases de legitimación que permiten realizar tratamientos de datos lícitamente siempre y cuando, por supuesto, se cumpliera con los principios sobre los que se debe asentar cualquier tratamiento: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. Y todos ellos bajo el paraguas del principio por excelencia: accountability o responsabilidad proactiva, en virtud del cual, no solo hay que cumplir, sino demostrar que se cumple. Sin embargo, el RGPD no nos decía cómo hacerlo, tal y como había sucedido hasta ese momento con las anteriores leyes de protección de datos.
Ante este panorama que se abrió con la entrada en vigor del RGPD, cualquier hecho acaecido antes de ese 25 de mayo podría considerarse como la prehistoria de la protección de datos, siendo esa fecha el nacimiento de una nueva era dentro de esta área del derecho.
Antes de la entrada en vigor del RGPD ningún asunto de protección de datos tenía cabida en un periódico, muy pocos sabían cómo se llamaban las autoridades de control de otros estados miembros, términos como TIA, PIA, LIA, DPO o RAT solo aparecían en los cómics, las sanciones eran prácticamente anecdóticas y no teníamos claro cómo funcionaba exactamente el accountability.
En estos últimos cinco años han pasado tantas cosas que es imposible resumirlas en estas líneas, pero si alguien tenía duda de la revolución que ha supuesto el nuevo enfoque otorgado por el RGPD a la protección de datos, sirvan de muestra los periódicos de las últimas semanas donde los asuntos de protección de datos copan titulares, como la suspensión por parte de la autoridad de control de protección de datos italiana del servicio ChatGPT, o la sanción de 1.200 millones de euros impuesta a Meta por la autoridad de control irlandesa con la que nos despertamos el pasado lunes.
La sofisticación de esta especialidad ha sido tan grande que cuesta pensar que haya ocurrido en tan poco tiempo. Esta rama del derecho ha pasado de ser la de unos cuantos abogados frikis que hablaban con informáticos, a incorporarse en la orden del día de los consejos de administración.
Sin lugar a dudas, existe una concienciación mucho mayor en todas las compañías y también un conocimiento mucho más elevado en todas las áreas en contacto con datos. Cada vez se tiene más en cuenta a los especialistas en privacidad en los procesos, dando así cumplimiento a la privacidad desde el diseño y por defecto.
Pero, en mi opinión, queda aún un paso importante, el de entender que todos los recursos invertidos para dar cumplimiento al RGPD no son para evitar sanciones, sino para proteger derechos. Y, por otra parte, que la defensa de este derecho fundamental no puede ser un obstáculo para seguir innovando y desarrollando nueva tecnología. El considerando 4 del RGPD dice que “el tratamiento de datos personales debe estar concebido para servir a la humanidad”, pero también dice que “el derecho a la protección de datos personales no es un derecho absoluto, sino que debe considerarse en relación con su fusión en la sociedad y mantener el equilibro con otros derechos fundamentales con arreglo al principio de proporcionalidad”.
El objetivo, por tanto, no es dejar de acometer proyectos para evitar una sanción sino intentar buscar la forma de hacerlos con pleno respeto a los derechos involucrados. Desde este punto de vista, los profesionales de la privacidad tenemos un gran reto que nos exige ser rigurosos y creativos. Sobre este particular, resulta especialmente desafiante la relación entre este derecho a la protección de datos y la Inteligencia Artificial, la actividad de plataformas de servicios online o las transferencias internacionales de datos, entre otros retos, que sin duda serán algunos de nuestros próximos caballos de batalla.
Los cinco primeros años del RGPD han sido apasionantes, pero lo que está por venir promete serlo aún más. ¿Quién dijo que la protección de datos es aburrida?
Paloma Arribas del Hoyo, partner de Baylos.