Desde mi experiencia, cuando un responsable de tratamiento cumple con la normativa de protección de datos, generalmente lo hace con el objetivo de situarse en uno de los siguientes tres niveles de cumplimiento que, por supuesto, son cumulativos y no excluyentes.
El cumplimiento cosmético
Los responsables de asesoría jurídica, cuando pensamos en la necesidad de proteger los datos personales, normalmente lo hacemos desde una perspectiva de cumplimiento formal de ciertos requisitos. No rara vez estos requisitos generan situaciones forzadas en la relación del responsable con las personas interesadas. Según su implementación, esto puede impactar más o menos en la experiencia de usuario/a del servicio, tanto positiva como negativamente. Su finalidad es evitar incumplir una ley o un contrato.
Este cumplimiento cosmético es muy evidente, entre otros, en el principio de transparencia. Un ejemplo clásico podría ser el banner de cookies que casi cualquier sitio web debe mostrar. Es un requisito normativo muy importante, pero a día de hoy su motivación reside en el cumplimiento formal preventivo de sanciones, en la garantía de la reputación corporativa y en evitar penalizaciones de posicionamiento orgánico.
El cumplimiento en interés ajeno
En otras ocasiones, la necesidad de proteger los datos personales juega un papel fundamental en la garantía de la privacidad u otros derechos fundamentales de las personas interesadas. Esta es la verdadera razón que da causa a la normativa de protección de datos y sobre la cual no se debe frivolizar. Como nos ha enseñado la historia, el tratamiento indiscriminado de datos personales puede tener unas consecuencias terribles para la vida de las personas.
En el contexto político y social europeo contemporáneo (quizás más de uno esté pensando que exagero), pero durante los años 30 y 40 del siglo XX, los registros censales y parroquiales, las listas de miembros de las sinagogas, las declaraciones de impuestos y los registros policiales de la Alemania Nazi facilitaron tremendamente lo que ahora conocemos como el Holocausto. Es difícil que volvamos a vivir una situación tan dramática en Europa.
Sin embargo, el tratamiento de ciertas categorías de datos personales o el tratamiento conjunto de determinados datos (aún no siendo sensibles separadamente) debe estar sujeto a un especial cuidado pues, a través de ellos, hoy en día cualquiera de nosotros puede verse expuesto a situaciones tan graves como ser estafados, privados de empleo, manipulados política y comercialmente, despojados de nuestra intimidad, ser objeto de una suplantación de identidad para la comisión de delitos o, incluso, sufrir un diagnostico o tratamiento médico erróneo (imaginemos un cruce de historial médico).
El cumplimiento en interés propio
El último nivel de cumplimiento, aunque tiene puntos comunes con los dos anteriores, constituye (en mi opinión) una modalidad diferente. En este caso la empresa busca el cumplimiento porque, en caso contrario, su capacidad competitiva puede verse seriamente afectada.
El supuesto paradigmático y de mayor actualidad afecta a empresas multinacionales cuyo país de origen no garantiza un nivel de seguridad adecuado equivalente al exigido por la normativa europea. Se trata de un problema bilateral de la empresa extranjera, normalmente proveedora de servicios, y en la empresa europea, generalmente cliente.
La empresa extranjera, para poder operar en territorio europeo, tiene la presión de cumplir con las leyes europeas y con las suyas nacionales. En este escenario, muchas empresas extranjeras (especialmente proveedoras de servicios cloud) están creando filiales en territorio europeo desvinculando los servicios ofrecidos en Europa de sus obligaciones con la matriz. Esta estrategia, sumada a una voluntad de cumplimiento real, transparente y leal jugará un papel esencial en el posicionamiento competitivo de estos proveedores, que durante los próximos años puede traer consigo una redistribución de los líderes de determinados sectores tecnológicos.
Por otro lado, la empresa europea ha de tener sumo cuidado en la contratación con estas empresas extranjeras pues, según los datos afectados por el servicio contratado (imaginemos ciertos secretos empresariales o datos personales de interés público nacional), la no garantía de protección de los mismos, o el acceso a ellos por parte de ciertas autoridades extranjeras, podría afectar seriamente a su competencia y a su objeto de negocio.
Si quieres convertirte en un profesional de alta cualificación en este ámbito, podrás hacerlo en tan solo 12 meses con el Máster en Dirección de Compliance y Protección de Datos y podrás asumir funciones de Director/a de Cumplimiento y Director/a de Protección de Datos.
