El 25 de mayo de 2016 entró en vigor el Reglamento Europeo de Protección de Datos, un elemento legislativo de directa aplicación en los Estados de la Unión Europea. El Reglamento entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después. Hasta 2018 la Directiva 95/46 y las normas nacionales que la trasponen, entre ellas la LOPD, seguirán siendo aplicables. En ese periodo de dos años quienes tienen que adaptarse hasta que el Reglamento sea aplicable son los Estados de la UE, las Instituciones Europeas y organizaciones que tratan datos. La LOPD quedará vigente hasta que se logre su completa derogación o bien su modificación para adecuarla al RGPD)
La LOPD y LSSICE forman la punta de lanza de la privacidad en el Derecho de las Nuevas Tecnologías español y, aunque son mejorables, se revelan como bastante garantistas. Sin embargo, es imperativa la adaptación al nuevo paradigma del RGPD, que extiende la protección y habilita nuevas herramientas y nuevos métodos de trabajo en la protección de datos. Pero el sector empresarial no debería esperar a 2018 para actualizar su sistema de gestión y protección de datos.
Para las compañías, se hace imprescindible tomar medidas con el fin de garantizar la protección de sus datos corporativos. En este sentido, pueden encontrarse con ciertos dilemas o retos que deberían plantearse con una consultoría de protección de datos antes de que pasen los años. El primero de ellos quizá sea el concepto básico que subyace al RGPD: es para los Estados de la UE.
¿De qué manera puede, en este momento, ser la cuestión territorial un tema de debate o preocupación en la UE? Lo cierto es que es un tema candente y que no debe ser dado por hecho ni asumido sin más. En la materia que ocupa a la protección de datos, se debe tener en consideración que algunas importantes plataformas de servicios de almacenamiento de datos informáticos en la nube tienen su sede en el Reino Unido, país que, en 2016, decidió salir de la Unión Europea tras la famosa consulta del brexit. Esta salida significa la ruptura de las obligaciones legislativas y reglamentarias que la Unión Europea impone a sus Estados miembros, algo que obviamente también afecta a la adscripción del Reino Unido al RGPD.
De este modo, la City podría regular su propia normativa, ajena a la europea, que podría ser menos garantista y/o requerir diferentes métodos de trabajo y almacenamiento de los datos. Esto es algo que podría ser problemático para las empresas españolas que usen servidores de la nube británicos u otros sistemas de almacenamiento. No solo por la protección de datos propios (copias de seguridad de bases de datos, información comercial, industrial y contable privada, etc.) y de terceros (clientes, proveedores…), sino también para su gestión y administración, así como por la mera seguridad jurídica.
El hecho es que, si Reino Unido desea operar en el territorio de la Unión Europea, tendrá que adoptar el RGPD o utilizar un sistema equivalente y basado en criterios de seguridad reconocidos internacionalmente (como las normas ISO). Ante este panorama o la propia adaptación del RGPD en España, conviene que las empresas muevan ficha y analicen sus mejores opciones, tanto para asegurar la mejor protección de sus datos como para adelantarse en el tiempo a algo que tendrán que aplicar en el futuro cercano.
