Siete años de RGPD: del desconcierto inicial al estándar mundial

Este año se cumplen siete años de aplicación del Reglamento General de Protección de Datos (RGPD). En vidas humanas, se trataría de un niño de primaria con poca experiencia y todo por aprender. En vidas legislativas, se trata de un adulto hecho y derecho, que ha demostrado (casi) todo lo que es capaz de hacer.

La aprobación del RGPD supuso un cambio de paradigma y fue la respuesta a los desafíos de un mundo cada vez más global y cambiante. Se caracterizó por su aplicación extraterritorial —se aplica de forma directa en todos los Estados miembros y, además, a entidades que traten datos de ciudadanos europeos, independientemente de su ubicación—, por su flexibilidad, mediante conceptos amplios y tecnológicamente neutrales, y por su estructura como marco normativo basado en unos principios básicos, de fácil adaptación a un entorno en constante cambio.

Su madurez viene dada porque han aparecido normas que, al abrigo de la que fue una novedosa regulación, están desarrollándose dentro de la gran familia normativa digital europea: Reglamento de Inteligencia Artificial (RIA), Ley de Servicios Digitales (DSA), Ley de Mercados Digitales (DMA), Reglamento de Resiliencia Operativa Digital (DORA), Directiva sobre ciberseguridad (NIS2), Reglamento sobre identidad digital (eIDAS2) o el Reglamento para un acceso equitativo a los datos (Data Act), entre otros.

El RGPD fue el pistoletazo de salida de una avalancha normativa que demuestra el reto de vivir en la era digital donde los avances son cada vez más rápidos y requieren una mayor especialidad legislativa. En medio de los revolcones que enfrentan los profesionales y las empresas afectadas por este tsunami, nos aferramos al reglamento con confianza y seguridad.

Este confort ha sido fruto del estudio incansable por parte de los profesionales de la privacidad, que han creado una doctrina solvente, y también —es justo reconocerlo— de la labor de las autoridades de control que, con sus guías, directrices y resoluciones, unidas a la interpretación de los tribunales, han ayudado a entender y a aplicar mejor sus preceptos. Lo que hace siete años eran sombras e incertidumbre, hoy empiezan a ser principios básicos asentados.

Además de este afianzamiento, el verdadero gran hito del RGPD es que ha establecido un estándar de protección de datos reconocido mundialmente. Muchas jurisdicciones fuera de Europa —desde Brasil con su LGPD hasta California con su CCPA— han adoptado marcos inspirados, directa o indirectamente, en el modelo europeo. Este fenómeno conocido como “efecto Bruselas” ha elevado la conciencia sobre la privacidad en todo el mundo.

No obstante, aún quedan aspectos que mejorar. Persiste cierta incertidumbre jurídica, ya que las autoridades de control no siempre interpretan igual el RGPD. Esta desigualdad ha puesto en entredicho el mecanismo de cooperación ideado para resolver las reclamaciones transfronterizas cuando la empresa reclamada se encuentra en un estado diferente a los afectados.

Tampoco puede ignorarse la carga que supone para las pequeñas y medianas empresas, que en ocasiones enfrentan dificultades para cumplir con las exigencias normativas al no disponer de los recursos de las grandes corporaciones. Sobre esta cuestión, las autoridades europeas ya han anunciado cambios en el RGPD para relajar algunos requisitos.

Por último, el reglamento de protección de datos aún debe enfrentarse a grandes retos. El principal será demostrar su efectividad ante el auge de la inteligencia artificial. Otro reto será comprobar si bastará para regular el tratamiento de datos cada vez más sensibles, como los neurodatos, que atañen a la esfera más privada y tendrán cada vez más valor en la economía de los datos.

Confiemos que el espíritu del RGPD y sus pilares: la privacidad desde el diseño y por defecto, el principio de responsabilidad proactiva, estén presente en todos los avances tecnológicos. Será la prueba de que la regulación no está reñida con la innovación, y que esta puede y debe garantizar el respeto a los derechos fundamentales.