GDPR

GDPR cumple cinco años exhibiendo autoridad y con capacidad de adaptación

La reciente e histórica multa impuesta por Irlanda a Meta y la convivencia con otras leyes marco como la DSA y la DMA, así como las próximas en materia de inteligencia artificial, marcan el aniversario de la ley de protección de datos europea por excelencia.

aniversario
Créditos: Unsplash

La normativa que cambió para siempre la concepción de la protección de datos y de un derecho fundamental como la privacidad en el Viejo Continente, el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) cumple hoy cinco años desde su entrada en vigor. Y lo hace con más músculo que nunca, a tenor de la última gran noticia relativa a sus artículos: el pasado lunes Irlanda imponía la sanción más alta de la joven historia del escrito a Meta por valor de 1.200 millones de euros. El regulador alega falta de garantías de seguridad por parte de la tecnológica en el traslado de los usuarios comunitarios a Estados Unidos. 

Para Fernando Maldonado, analista principal de IDG Research, la cuantía récord por el incumplimiento nos dice dos cosas acerca del estado de madurez actual de GDPR; la primera que, hasta esta semana, su aplicación ha sido desigual en las distintas geografías. “Por ejemplo, Alemania ha sido más estricta que la propia Irlanda”, dice. “Estos países han representado los dos extremos, por lo que su implantación ha sido heterogénea y ha hecho que pierda cierta efectividad. Ahora bien, después de esta última multa, los gigantes de Internet ya saben que la ley empieza a tender a igualarse en los distintos países”.

En una reciente entrevista con CSO, Mar España, directora desde 2015 de la Agencia Española de Protección de Datos (AEPD), el organismo público local encargado de velar por la protección y el cumplimiento de este tipo de normas marco, también puso el foco en este “mecanismo mejorable”, el de ‘ventanilla única’, por el cual cada empresa responde a las autoridades de su sede fiscal en Europa. Y, es que, asumía, “aunque la responsabilidad principal en cuestiones de estas grandes tecnológicas es de Irlanda, el futuro lo construimos entre todos”. Y, concluía que no hace falta modificar el principio sino progresar en su aplicación.

En esta desigualdad latente, por ejemplo, España ha impuesto en los últimos años 38% de las sanciones de toda la Unión Europea (UE), aunque el importe de las mismas no llega al 3,33%. Aunque, matizaba la directiva, “la Agencia no tiene ninguna prioridad ni interés en sancionar a la economía nacional. La multa llega cuando se han agotado la prevención, la aplicación de la privacidad desde el diseño y la mediación a través del responsable. Solo sancionamos si esos mecanismos no han funcionado. Y, con carácter general, si la infracción no es muy grave, a las pymes y autónomos solo los apercibimos”.

 

Vigencia en un entorno dinámico y flexible

El segundo aspecto que resalta Maldonado de la norma que ha introducido, por ejemplo, la figura del Delegado de Protección de Datos (DPO, en inglés) en las administraciones públicas y en cada vez más compañías privadas, es que “sigue estando vigente y es una herramienta muy útil para el regulador”. Tiene lagunas, prosigue, “pero eso es algo inevitable. El entorno es dinámico y la normativa se va adaptando, necesita seguir siendo flexible y complementarse con otras regulaciones”.

Entre esas otras leyes destacan la Ley de Servicios Digitales o la Ley de Mercados Digitales -DSA y DMA respectivamente- que, con cierto proteccionismo hacia las empresas europeas, miran la forma de hacer negocio y, también, de tratar los datos, de las tecnológicas extranjeras. Con motivo del IV aniversario de GDPR, el año pasado, este medio habló con María Suárez, experta en cumplimiento TI y socia del área de privacidad en Andersen España, quien asumía que “uno de los principales riesgos [en este aspecto] es cómo nos redirigen las plataformas digitales en función de nuestra información [...] Otro ámbito importantísimo es en materia de inteligencia artificial (IA). Un campo decisivo va a ser el de la legislación de las decisiones automatizadas que impliquen efectos jurídicos en los ciudadanos. Esto actualmente está prohibido en GDPR cuando se refiere a datos de salud, por ejemplo”.

En cualquier caso, y a pesar de la evolución Suárez ya postulaba la actual vigencia y buena salud de la norma teniendo en cuenta que su principal objetivo es “seguir la frenética evolución de la transformación digital, más si cabe tras el estallido de la pandemia de la COVID-19. Ahora tendrá que convivir con otras leyes cumbre”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper