El Reglamento General de Protección de Datos europeo (RGPD) cobró su plena efectividad hace ya casi dos años y ha revolucionado a todos los negocios cuyo activo principal es el dato personal.
Hay que recordar que esta norma se promulgó a nivel europeo pero que tiene una aplicación transfronteriza, siendo una regulación de obligado cumplimiento para cualquier empresa que trate datos personales de ciudadanos que estén en el espacio económico europeo, independientemente de dónde esté ubicada la sede de esa empresa.
Esto implica un cambio paradigmático en el mundo regulatorio y de los negocios digitales ya que, por primera vez, la Unión Europea, impone la aplicación universal de una norma independientemente de la ubicación de las empresas que tratan datos y que tradicionalmente se han valido de su nacionalidad para no cumplir con las premisas del derecho europeo. Este hecho, sumado a la elevada cifra de las sanciones que pueden recaer por incumplimiento del RGPD (hasta 20 millones de Euros), han provocado una verdadera revolución en las empresas que, de alguna manera, tengan acceso o traten datos personales.
Pensemos que los grandes gigantes norteamericanos como Facebook, Google, Amazon y Apple han estado tratando (e incluso cediéndolos a terceros sin consentimiento) datos de ciudadanos europeos en los últimos 10 años sin someterse a nuestra normativa que considera que el dato personal es un derecho fundamental. A diferencia de la Unión Europea, en Estados Unidos no se considera que lo sea y, es más, el tráfico y comercialización de datos ha sido una tónica habitual en este país al tener una regulación muy laxa en este ámbito. Sucede de igual forma con algunos estados totalitarios donde no existe el concepto derecho fundamental como en el caso de China. Pues bien, estas empresas podrán seguir tratando datos de ciudadanos de sus propios países o de terceros en la manera en que lo venían haciendo, pero ya no será así para aquellos datos sean titularidad de un sujeto ubicado en la Unión Europea y es por ello por lo que todas estas empresas han tenido que pasar por un exhaustivo proceso de adecuación al RGPD para poder seguir operando en los 28 estados miembros, cambiando radicalmente sus políticas para los ciudadanos europeos.
En mi opinión, este cambio normativo debe ser visto por las empresas europeas como una ventaja competitiva porque, por primera vez, los gigantes tecnológicos que dominan los mercados del “Data” se están sometiendo a las mismas reglas del juego a las que han estado sometidas todas las empresas europeas de hace ya más de 20 años. En Europa ya conocemos la estricta regulación cuando tratamos datos mucho antes de que se aprobara el RGPD porque hemos tenido que adecuar nuestras empresas a las normas que antes regían la materia y que eran tan estrictas como el RGPD con el único objetivo de devolver al ciudadano el control sobre un elemento que sólo es suyo, el derecho a la protección de sus datos.
En este punto, ya partimos con ventaja porque tenemos cultura de cumplimiento y no nos resulta difícil cumplir esta norma. Sin embargo, para empresas extranjeras es un claro “stopper” que pondrá en duda modelos de negocio que antes podían multiplicar su facturación y que ahora deberán por un proceso de auditoría estricto antes de salir al mercado para verificar si ahora pueden explotarse en la Unión Europea.
El RGPD pone a disposición de las empresas herramientas que permiten legalizar, a priori, modelos de negocio basados en datos. Por ejemplo, el “Privacy by Design” del RGPD está consiguiendo que, por primera vez, abogados expertos, directores de producto y de tecnología trabajen totalmente alineados en la ideación de productos y servicios basados en datos, de forma que, antes de salir al mercado, estarán alineados con la norma y, por tanto, no serán susceptibles de ser sancionados. Este trabajo previo en colaboración que se puede incorporar a las metodologías “Scrum” o “Agile” en fases de ideación permitirá a las empresas crear productos y servicios realmente competitivos porque se ha añadido al equipo al abogado. Este sabe perfectamente cómo ayudar a que cualquier desarrollo esté perfectamente alineado con el RGPD, evitando inversiones que, una vez en el mercado, podrían no cumplir con la citada norma.
En conclusión, si vemos el lado positivo del RGPD es sencillo apreciar que, por fin, estamos en igualdad de condiciones en relación con los gigantes tecnológicos que históricamente han superado a cualquier empresa de origen europeo y, por otra parte, tenemos la oportunidad de transformar el cumplimiento normativo en una ventaja para diseñar productos y servicios más competitivos, supervisados por abogados expertos en privacidad que serán nuestros aliados a la hora de poner en marcha proyectos disruptivos, siempre que contemos con ellos en las fases más preliminares de su diseño y no cuando ya no hay marcha atrás.
