¿Qué pasó con la GDPR?

Absortos como estamos ahora en la situación provocada por el COVID-19, se nos pasan por alto noticias relevantes para nuestra sociedad. Como aquellas en relación a nuestros derechos en la gestión de datos personales y la transformación organizativa que supuso para todos alcanzar el plazo límite para adaptarse a GDPR, el 25 de mayo de 2018. Y hoy puede ser un día más en la vuelta a la nueva normalidad, pero también es el segundo aniversario del reglamento, y aunque no podamos celebrarlo, si podemos recordarle y pensar qué han supuesto estos 2 años.

Más allá de nuestras fronteras

En este tiempo no solo los ciudadanos de Europa, sino también cualquier organización, de cualquier lugar del mundo, han necesitado ponerse al día en los criterios de seguridad de los datos y la aplicación de los nuevos derechos y obligaciones, siempre que la información que gestionase incluyera datos personales de cualquiera de los 450 millones de habitantes que formamos la Unión Europea.

Fue aquel un inicio complejo y sembrado de dudas, donde incluso algunas empresas fuera de la UE optaron por no prestar servicios a los ciudadanos europeos, y que ha dado paso a cambios relevantes en nuestro concepto de Dato Personal, en nuestros derechos como propietarios de nuestros datos conscientes de la importancia y el valor que tienen, y en el uso que de ellos hacen las organizaciones. Algunos cambios han sido menores, pero otros tienen un calado y una dimensión muy relevante para los criterios de organización y negocio de muchas empresas. Veamos algunos, a modo de ejemplo de lo vivido estos dos años de plena implantación de GDPR.

El caso español

En primer lugar, fuimos conscientes de cuán cerca está la legislación europea a la realidad social y económica de los ciudadanos de la Unión. En el caso español, el retraso en la adaptación de GDPR a la normativa nacional forzó a muchas organizaciones a mirar de reojo lo que aún no había llegado como Ley nacional cuando GDPR ya era plenamente vigente. Y es que la nueva LOPD no llegó a nuestras manos de manera oficial hasta diciembre de 2018.

Hoy día, aun, sigue habiendo organizaciones que tienen a GDPR como único manual de referencia, y no a la legislación nacional publicada medio año después. Que sea posible aproximarse a una y a otra sin demasiados cambios nos da una idea de la dimensión europea que tiene esta norma, más allá de las legislaciones locales de cada país.

Influencia en los servicios

Por otra parte, la adaptación a GDPR ha supuesto un salto enorme en el diseño de nuevos servicios en una sociedad, de servicios precisamente, tan avanzada como la europea. El punto de partida actual, que obliga a las organizaciones a tener en cuenta los criterios de seguridad de los datos desde las fases de diseño de cualquier idea, resulta un concepto habitual en 2020, pero en muchos casos revolucionario hace tan solo 2 años.

Esto está creando mejores servicios, más robustos, más solventes, y, sin lugar a duda, más avanzados para competir no solo en el mercado europeo, sino como un enfoque a seguir a la hora de salir a nuevos mercados con unos criterios de seguridad de los datos que exceden la mayoría de los estándares y legislaciones de otras áreas del mundo fuera de la UE. GDPR contribuye con este enfoque a desarrollar una cultura de la seguridad del dato muy necesaria en el “cibermundo” de los “ciberservicios” que se abre paso a nivel global, poniendo a las empresas europeas en la punta de lanza.

Más eficiencia y competitividad

Ser exigentes con los datos que custodiamos como organizaciones también nos ha hecho poner el foco en el valor de los datos, en la necesidad de explotar la información para dar un salto adelante de eficacia y competitividad. Para ello, las organizaciones de todos los tamaños y sectores han digitalizado procesos, información, y hasta la propia relación con los clientes.

De manera que ha generado un enorme volumen de información que ayuda posteriormente a entender mejor cómo aportar valor al cliente, reducir las transacciones, mejorar la calidad, etc. Para llevar adelante estos objetivos de eficacia y mejora competitiva las empresas necesitan seguir aportando a sus procesos medios IT, software y formación para sus equipos humanos.

Mayor seguridad

Un aspecto igualmente relevante en la relación entre empresas es que GDPR ha contribuido a incrementar los requisitos de seguridad que deben garantizar los proveedores tecnológicos de servicios como el cloud computing y las telecomunicaciones. Ya no sirve con prestar el servicio según lo anunciado en el contrato. Hay que entrar además en el “cómo” se presta el servicio, y no solo en el “qué servicio se presta”. No es extraño por tanto que se realicen cada vez más evaluaciones para asegurar la idoneidad de condiciones en las empresas en las que se apoyan las organizaciones para explotar los datos personales de sus clientes, guardarlos, o procesarlos.

La transición hacia la madurez

Dicho todo esto, la transformación hacia una sociedad digitalizada más garantista en el cuidado y protección de los datos de los ciudadanos no es una foto estática a la que se llega por el simple hecho de adaptarse a GDPR. Es un proceso de madurez en el que cada organización se inició con un nivel concreto, y cada una según su esfuerzo y dedicación puede evaluarse a sí misma para saber dónde se encuentra.

En todos los casos, sigue existiendo un camino de mejora donde incrementar palancas transformadoras importantes para ser empresas competitivas y con futuro en un mundo centrado en los servicios: ciberseguridad, acceso universal a los datos, transacciones automáticas, digitalización de los procesos de negocio, resiliencia y continuidad del negocio… Términos que GDPR ha puesto en valor, y que constituyen atributos clave para cualquier organización que quiera mirar al futuro con optimismo.