Protección de datos: cuando se llama “burocracia” a lo que en realidad sostiene la confianza

Se suele hablar de protección de datos como si fuera un trámite. Sin embargo, la publicación de un Código electrónico del BOE que compila el marco aplicable muestra una realidad distinta: la privacidad y los derechos digitales atraviesan empresa, empleo, telecomunicaciones, seguridad y sector público. Si el cumplimiento se percibe como un estorbo, quizá el problema no es solo la ley. 

 Hay una idea que se repite con demasiada facilidad en conversaciones profesionales: que la protección de datos “es un trámite”, “un papel más”, una obligación pensada para cumplir y olvidar. 

 Esa percepción suele aparecer en dos lugares.  

 En algunas organizaciones, donde se entiende como un coste inevitable para “evitar problemas”. Y, de forma más incómoda, en parte del propio ecosistema jurídico, donde todavía se escucha (a veces de forma explícita, a veces entre líneas) que la privacidad es una especialidad menor, un “derecho de formularios” lejos de lo importante. 

 La publicación en el Boletín Oficial del Estado (BOE) del Código electrónico de Protección de Datos de Carácter Personal, actualizado a 30 de diciembre de 2025, invita a cuestionar esa percepción. No tanto por su extensión (más de 800 páginas), sino por lo que evidencia: si la protección de datos fuera solo burocracia, no haría falta ordenar un mapa normativo de esta magnitud. 

Un “código” que no se publica para decorar 

 Los códigos electrónicos del BOE no crean derecho nuevo. Compilan, ordenan y facilitan consulta. Su valor, por tanto, no está en “lo que inventan”, sino en lo que revelan: la protección de datos no opera como una isla, sino un sistema conectado con ámbitos que afectan a la actividad económica, a la organización pública y a la vida cotidiana. 

 La estructura del propio Código deja pistas desde el inicio: referencias constitucionales, el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), normativa específica para determinados tratamientos especialmente sensibles, elementos de seguridad de la información y bloques institucionales vinculados a la Agencia Española de Protección de Datos (AEPD). No es un capricho editorial: es la fotografía de un fenómeno transversal. 

 Cuando un área necesita ser “cartografiada” así, suele ser porque se ha convertido en un eje que condiciona decisiones reales. 

El punto de partida: privacidad como estructura constitucional 

 A veces se discute la protección de datos como si fuera una moda importada o una exigencia reciente. Sin embargo, en España existe un anclaje difícil de ignorar: el artículo 18.4 de la Constitución que conecta tecnología y garantía de derechos. 

 Ese artículo no describe un detalle técnico. Describe una intuición jurídica: cuando una tecnología escala, escala también su capacidad de afectar a la libertad, a la privacidad y a la dignidad.  

 Por eso, la protección de datos no nace para “incomodar” a las organizaciones. Nace para sostener un equilibrio básico: que la ciudadanía pueda vivir en una sociedad digital sin convertirse en materia prima sin control. 

 Empresa: el cumplimiento se vende mal y se compra peor 

 En el día a día empresarial, el problema no suele ser “estar en contra” de la privacidad. El problema es otro: se compra privacidad se compra un extintor (o la baliza v16), por obligación y con la esperanza de no usarlo nunca. 

 Esto genera tres distorsiones frecuentes: 

 Se busca lo mínimo para “no tener problemas”, en lugar de un sistema proporcional al riesgo real. 

• Se mide el valor solo por el coste, no por lo que evita o amortigua.
• Se confunde cumplir con “tener documentos”, en vez de tener decisiones, controles y trazabilidad.  

Esto explica una paradoja que se repite: casi nadie quiere que se vendan sus datos, que se utilice su número para llamadas no deseadas, que se elaboren perfiles invasivos o que información especialmente sensible termine expuesta. Sin embargo, cuando toca invertir en prevenir y gobernar esos riesgos, la reacción cambia. 

 Se acepta el derecho en abstracto y se rechaza su implementación en concreto. 

 Confundir litigio con relevancia 

 En ciertos entornos jurídicos todavía se asocia relevancia con pleito visible: penal, familia, civil clásico, grandes reclamaciones. Y, desde esa mirada, lo que no se defiende en sala parece menos “jurídico”. 

 La protección de datos opera de otra forma. Muchas veces, su éxito consiste precisamente en que no ocurre nada: no hay brecha, no hay sanción, no hay crisis reputacional, no hay pérdida de clientes, no hay bloqueo operativo.

 Eso es difícil de convertir en épica profesional. Sin embargo, es un indicador de madurez. La privacidad funciona bien cuando actúa como un sistema de prevención y control que evita daños antes de que sean irreversibles. 

 El propio Código electrónico del BOE es, en sí mismo, un argumento silencioso contra la idea de “especialidad menor”: compila normativa europea, desarrollo orgánico interno, piezas sectoriales, seguridad de la información, y normas de organización institucional. Lo transversal no es accesorio: sostiene el edificio. 

 El elefante en la habitación: también importa cómo se ha aplicado 

 Sería poco honesto reducirlo todo a “falta de cultura”. También existen factores internos que han dañado la percepción del cumplimiento. 

 Uno de ellos es el cumplimiento cosmético: soluciones que prometen tranquilidad sin transformar procesos ni decisiones. Cuando el mercado se acostumbra a la apariencia, el trabajo serio se devalúa. Y cuando una organización cree que todo se “resuelve con cuatro papeles”, el cinismo se vuelve comprensible. 

 A esto se suma otro debate legítimo: la proporcionalidad. No todas las actividades tratan datos con el mismo riesgo, ni todas las organizaciones tienen la misma capacidad. Si se traslada una lógica de gran organización a microempresas con tratamientos de bajo impacto, el resultado suele ser rechazo, no adhesión. 

 La protección de datos es un marco. Su eficacia depende de cómo se aterriza: con enfoque de riesgo, sentido común y orientación a resultados.

 El código como recordatorio: el RGPD no vive solo 

 Uno de los méritos del Código electrónico es mostrar algo que la práctica confirma: el cumplimiento rara vez se agota en RGPD y LOPDGDD; suele aparecer en los bordes. 

 Telecomunicaciones, cuando el dato se convierte en interrupción (captación opaca, reutilización de bases, contacto no deseado). Empleo, cuando privacidad y poder de dirección conviven en tensión (controles, herramientas digitales, proporcionalidad). Seguridad, porque sin medidas técnicas y organizativas la privacidad se queda en papel. Y ámbitos especialmente sensibles, donde el equilibrio entre finalidades públicas y garantías exige precisión. 

 Visto en conjunto, el mensaje es simple: la protección de datos no es un trámite aislado, sino el cruce entre derechos fundamentales, economía digital y capacidad tecnológica. 

Entonces, ¿qué se está infravalorando realmente? 

 Cuando una organización afirma “esto no sirve para nada”, normalmente está expresando una de estas ideas:  

• “No percibo el riesgo porque todavía no me ha ocurrido nada”.
• “Me han vendido humo y me niego a pagar más humo”.
• “Se me obliga a hacer cosas que no entiendo y que no veo útiles para mi realidad”. 

Las tres son comprensibles. Pero ninguna debería llevar a la conclusión equivocada: que la privacidad es un estorbo sin valor. 

 El valor existe. Lo que falla, con frecuencia, es el puente entre norma y práctica: cultura, pedagogía, proporcionalidad y un estándar profesional que separe cumplimiento efectivo de cumplimiento decorativo.

 Una señal de madurez (y una oportunidad) 

 Que el BOE compile un Código electrónico de protección de datos de esta magnitud no es una anécdota editorial. Es una señal: esto ya no es una materia de nicho. Es un eje que ordena decisiones públicas y privadas. 

 El siguiente paso quizá no sea pedir “más conciencia” en abstracto, sino hablar de privacidad como se habla de otras inversiones preventivas. Igual que se revisan contratos para evitar conflictos, se gobiernan datos para evitar daños. Igual que se invierte en ciberseguridad porque un incidente cuesta caro, se invierte en protección de datos porque la confianza también se rompe. 

 La sociedad quiere privacidad. Lo que todavía cuesta es asumir lo que implica sostenerla.