DESPUÉS DE UN AÑO DE RGPD LOS ANSIOLÍTICOS NO BAJAN DE PRECIO
IT Lawyer. GOVERTIS
Parece que fue ayer cuando le decíamos a nuestras familias, amig@s y mundo en general: “No te preocupes que el 25 de Mayo está ahí” … y ya ha pasado un año.
Es verdad que “esto del RGPD” empezó mucho antes, aunque sólo me referiré a los últimos meses. Y también es verdad que en éste último año han pasado muchas cosas más de las que aquí cuento; pero ésto es lo que da de sí un tren entre Valencia y Barcelona…
- LOS MESES ANTERIORES AL 25 DE MAYO DE 2018
Tengo la sospecha de que los meses anteriores al 25 de Mayo de 2018 fueron patrocinados por alguna multinacional farmacéutica de las que comercializan ansiolíticos…
Recordando dichos meses, algunos factores que contribuyeron a que la ansiedad fuese mayor de la estrictamente necesaria fueron los siguientes:
- No se había aprobado la LOPD (entonces sin GDD) y andábamos con borradores del texto. A diferencia de otros países como Alemania que ya disponían de ella.
- Noticia del 31/01/2018. Periódico CincoDías ¿Llegará a tiempo la nueva Ley de Protección de Datos?
- Noticia del 19/05 /2018. Periódico Conflegal: José Luis Piñar advierte que sin la aprobación de la LOPD habrá zonas grises con el RGPD
- Noticia del 31/01/2018. Periódico CincoDías ¿Llegará a tiempo la nueva Ley de Protección de Datos?
- No se había aprobado la LOPD (entonces sin GDD) y andábamos con borradores del texto. A diferencia de otros países como Alemania que ya disponían de ella.
Algunas consecuencias prácticas de no tener el texto definitivo fueron que la “moratoria para la firma de los contratos de encargado del tratamiento que preveía el borrador de la LOPD y que la LOPDGDD ha mantenido resulta que “no estaba vigente cuando era exigible la firma de contratos por el RGPD”….
“ ¡¡Cosas veredes amigo Sancho que harán fablar a las piedras!!”
Otra por ejemplo que “el contenido y supuestos de utilización de la doble capa de información difiere algo de la guía de la AEPD al texto de la LOPDGDD”…
2. La ignorancia, que junto con los altavoces de las RRSS, ayudaron a generar el pánico y aparecieron frases del tipo: “si no recabas el consentimiento expreso de tus clientes ya no podrás mandarles publicidad”: ASÍ DE ROTUNDO
Y entonces, nos inundaron del “Spam del consentimiento”, a pesar de que la AEPD ya lo había aclarado:
3. Había otras voces que decían: “con el RGPD TODO cambia”.
Quizá, no habían leído nada de la historia de la protección de datos (la historia es necesaria para entender el presente), que nos remonta – entre otras cosas – al año 1980 cuando la OCDE ya aprobó las “Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales”.
4. En España estamos acostumbrados a la picaresca y la situación se prestaba a ello con “comerciales” repitiendo mensajes del estilo: “LAS SANCIONES AUMENTAN HASTA 20 MILLONES DE EUROS O EL 4 % DEL VOLUMEN DE NEGOCIO” (lo cual en teoría es cierto); pero se les olvidaba el principio de proporcionalidad, el importante mecanismo de agravantes y atenuantes del RGPD (que la LOPDGG potencia) y la labor de prevención y pedagogía más que de sanción que la AEPD viene haciendo desde hace algunos años especialmente.
De hecho, el tiempo lo ha demostrado como resume muy bien el brillante @fjavier_sempere en este artículo:
Primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos con el RGPD
5. No quiero ser muy crítico con la AEPD, pues a diferencia de algunos que la critican o elogian según les convenga, creo que al igual que los árbitros a veces se equivoca aun teniendo un equipo profesional y humano muy bueno.
La AEPD, publicó antes de la exigencia del RGPD algunas guías que nos ayudaron mucho. Y algunos aspectos, como la doble capa del deber de información (aunque no era del todo nuevo, pues teníamos el precedente de los carteles de Videovigilancia y las cookies) resultaron muy interesantes.
Pero sí que es cierto que quizá se echó en falta el hecho de que algunas guías (como las de AARR Y EIPD) estuvieran accesibles antes de ese 25 de Mayo. Además, en ellas se aprecian ciertas carencias que no ayudaron a proporcionar luz en una materia (el Análisis de Riesgos) que históricamente no estaba cerca de la protección de datos.
Por no hablar de la necesaria comunión entre RGPD y ENS que, no se ha conseguido cimentar del todo (aunque ha habido acercamientos). Esta necesaria armonía REAL entre ambas normas es un ejercicio que tienen pendiente la AEPD y el CCN.
- Y POR FIN: EL 25 DE MAYO DE 2018
- El 25 de Mayo llegó; e igual que cuando llegó el año 2000, ni se acabó el mundo, ni los aviones cayeron (o si alguno cayó, no fue por el efecto 2000…). Pero tampoco dejaron de subir los precios de los ansiolíticos…
- Aparecieron de nuevo curiosidades para recordar, por ejemplo, una de las frases más repetidas era: ¿Cómo que no has nombrado un DPO (bueno acostumbrémonos a llamarle DPD)? De nuevo la picaresca, y hasta fruterías con DPD
Y hubo hasta quienes pretendieron registrar la marca como nos contó @apachecoabogado
Al parecer denegada:Resultados expediente de registro de Marca. Oficina Española de Patentes y Marcas: http://www.oepm.es/es/signos_distintivos/resultados_expediente.html?mod=N&exp=0387446&bis= - Pero si pones un DPD, “que sepa“.Entonces la AEPD y ENAC, que habían trabajado en el esquema de certificación de DPD, empezaron a acreditar entidades de certificación y empezaron a certificarse DPDs. Obviamente para ser DPD, y para ser DPD bueno, no hace falta estar certificado. Hay DPDs muy buenos que no lo están, pero desde luego estar certificado puede ser una buena forma de acreditar capacitación.Y como toda profesión requiere un buen “Club”… el Club del DPD
https://dpd.aec.es/club-dpd/ - Se siguió avanzando… En Junio de 2018 la AEPD presentó una guía para gestionar y notificar las quiebras de seguridad según el Reglamento
Y empezaron las dudas sobre qué había que notificar, y cierta “psicosis” por notificarlo todo, sin realizar un buen triaje. Menos mal que hay gente como el gran @javiercao
Puedes verlo aquí “en acción”
- En Agosto de 2018, y como medida provisional, se aprobó el RD 5/2018
Un remiendo (despropósito) que no ha tenido mucha vida porque…
- En Diciembre de 2018 se aprobó la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)
- Y Enero y Febrero de 2019 los pasamos perplejos intentando digerir el GDD de la LOPD… sobre los que algunas críticas hice en una serie de artículos que escribí en el blog de Govertis, junto con otros compañeros:
- En Diciembre de 2018 se aprobó la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)
https://www.govertis.com/regulacion-de-los-derechos-digitales-en-la-nueva-lopd
- Y entonces llegó MARZO DE 2019 con una “BOMBALOPD”.Entre las novedades de la LOPD nos trajo el increíble Spam electoral, que la AEPD tuvo que “capear” como pudo…Si no habéis leído el informe leedlo aquí: https://www.aepd.es/media/informes/2018-0181-tratamiento-datos-opiniones-politicas-por-partidos-polticos.pdf
Y llegó lo inevitable … un grupo de “guerreros del dato” consiguieron que el Defensor del Pueblo presentara el recurso de inconstitucionalidad ante el TC:
- Y entonces llegó MARZO DE 2019 con una “BOMBALOPD”.Entre las novedades de la LOPD nos trajo el increíble Spam electoral, que la AEPD tuvo que “capear” como pudo…Si no habéis leído el informe leedlo aquí: https://www.aepd.es/media/informes/2018-0181-tratamiento-datos-opiniones-politicas-por-partidos-polticos.pdf
- Creo que es de Justicia hacer referencia a quienes trabajaron duro en ello: @adsuara @jgarciaherrero @Jorge_Morell @jcampanillas @EgilGlez @pm_asociados @cotino @internautas @usuariosdeinter @Adancas_com @PDLI_ @ENATIC1 @SecuoyaGroup @OfeTG @bufetalmeida Cecilia Álvarez y @DefensorPuebloE
Y el mes de ABRIL pasó entre la resaca del recurso, una semana Santa lluviosa y una Feria de Sevilla que llevó a Mayo… con la resolución del Tribunal Constitucional
Y la AEPD ha resumido en este gráfico este año:
- Creo que es de Justicia hacer referencia a quienes trabajaron duro en ello: @adsuara @jgarciaherrero @Jorge_Morell @jcampanillas @EgilGlez @pm_asociados @cotino @internautas @usuariosdeinter @Adancas_com @PDLI_ @ENATIC1 @SecuoyaGroup @OfeTG @bufetalmeida Cecilia Álvarez y @DefensorPuebloE
- Han cambiado algunas cosas en este año, pero – no quiero olvidarme – de otras que de momento no han cambiado como los PIRATAS DE LA LOPDCOSTE 0 que no han desaparecido y sólo han cambiado de terreno de juego al RGPDCOSTE0 … continuaremos luchando del lado de la @AsociacionAPEP. Me quedo con la frase que le escuché a Mar España precisamente el día 24 de Mayo de 2019 en BCN en la que aseguró que aunque ahora no hayan podido ser sancionados se continuará persiguiendo dicha práctica no sólo desde la Agencia sino también de forma coordinada con otras administraciones.Y lo que si que – me dicen- no cambia (no baja) es el precio de los ansiolíticos:¿será que la demanda tampoco?Menos mal que hemos encontrado remedio … el #ClubdelDato donde nos lo pasamos bien y “hacemos terapia de grupo”
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
