Señor Wiewiórowski, ¿los resultados obtenidos han cumplido sus expectativas y las de la UE?
Wojciech Wiewiórowski: Aunque es difícil valorar el impacto total de la reforma de protección de datos en sólo seis meses de su entrada en vigor, el resultado general es positivo. Tras una desorientación inicial — por no decir pánico — la mayor parte de los responsables se han dado cuenta de que ya disponen de la mayoría de las herramientas necesarias para cumplir el RGPD, porque sus requisitos no distan tanto de los que había que cumplir antes del 25 de mayo. Por otro lado, la introducción del RGPD ha sido una ocasión para reevaluar las configuraciones de privacidad, elevar la conciencia de los clientes y comprobar que las organizaciones están preparadas en el campo de la ciberseguridad. La mayor parte de los responsables y organizaciones que procesan nuestros datos parecen estar listos para asegurar a sus clientes que los datos personales están seguros al residir en sus sistemas de información.
Desde un punto de vista institucional, las autoridades de protección de datos nacionales y europeas han cumplido también nuestras expectativas. Hay que tener en cuenta que ellas estaban también obligadas a cumplir muchos requisitos con el RGPD.
Wojciech Wiewiórowski
El EDPS — el Supervisor Europeo de Protección de Datos — es la autoridad independiente europea en protección de datos. Antes de ser nombrado su subdirector, Wojciech Wiewiórowski era Inspector General de Datos Personales en la agencia polaca de protección de datos, un cargo que ejercía desde 2010. Es también Vicepresidente del Grupo de Trabajo sobre el Artículo 29.
¿Podría darnos una impresión rápida sobre qué problemas se han dado en distintos países?
Wojciech Wiewiórowski: Hay algunas dificultades que se han dado en toda Europa, como por ejemplo los procedimientos administrativos transnacionales, proceso de la documentación, o la interacción con las leyes bancarias, de seguros o sanitarias. Algunos otros problemas han sido más predominantes en unos países que en otros, puesto que cada país es diferente. Lo que se considera una gran empresa en Estonia puede ser una mediana empresa en Alemania. Luxemburgo es un país pequeño, pero hay muchas empresas grandes que se han establecido allí. Hay agencias de protección de datos bien establecidas en algunos países (por ejemplo España, Francia, Reino Unido, Alemania, Países Bajos o Polonia), mientras que están prácticamente recién llegadas en otros (como en la República Checa). Hay países que tienen mucha experiencia en la aplicación de sanciones en protección de datos (España, Reino Unido) mientras que en otros estas sanciones nunca se han aplicado (Finlandia, Polonia). Lo que sí parece claro es que hay un cierto grado de dificultad en compatibilizar la ley general de protección de datos con leyes nacionales relativas a los sectores bancarios o de seguros, a la confidencialidad profesional y a las normas nacionales de gestión de datos médicos. Éstas últimas son muy diferentes de un país a otro y es difícil llegar a una interpretación común para toda Europa.
¿Qué le ha sorprendido más durante estos seis meses de aplicación del RGPD?
Wojciech Wiewiórowski: Pues suelo decir, en broma, que mi mayor sorpresa ha sido que el mundo ha seguido girando después del 25 de mayo. Algunos “expertos” han venido diciendo que habíamos creado un nuevo monstruo que iba a colapsar la UE. Ya hablando en serio, creo que los tres aspectos a resaltar tras el 25 de mayo son:
- Hay un gran apoyo al RGPD, en comparación con nuevas ideas que se recogen en el borrador titulado ePrivacy Regulation. La mayoría de los actores del mercado están de acuerdo en que el RGPD establece nuevos estándares que vale la pena defender y que éstos son razonables.
- Muchas de las preguntas que se han hecho a las autoridades de protección de datos desde el 25 de mayo se refieren a problemas que ya existían antes de la reforma. Esto pone de manifiesto que la reforma ha empujado a los responsables a cumplir con la ley, lo cual era ya obligatorio antes.
- El RGPD está marcando los estándares en los que se fijan otras jurisdicciones del mundo. No todos los países quieren seguir las soluciones marcadas por el RGPD, lo cual es comprensible, pero sí que han hecho una comparativa entre el RGPD y sus respectivas legislaciones, situando al RGPD como un estándar mundial de facto.