Un año de la norma que cambió la historia de la privacidad y la protección de datos
El Reglamento General de Protección de Datos cumple un año con un nivel general de satisfacción elevado, muchos aciertos y algún que otro patinazo.
La normativa que ha cambiado la concepción de la privacidad y la protección de datos de toda Europa y, por qué no decirlo, del mundo entero, cumple su primer aniversario. Del Viejo Continente porque el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) envuelve a todos los países comunitarios. Y, del globo, porque cualquier empresa externa que quiera hacer negocio con alguna firma o usuario local debe atenerse a los preceptos del escrito. Antes de su entrada en vigor, el 25 de mayo de 2018, las empresas se lanzaron a la carrera por adaptar sus procesos y herramientas a una norma que prevé multas de hasta un 4% de la facturación anual –sin sobrepasar los 20 millones de euros– para todas aquellas entidades que sufran una brecha de datos o incumplan. Por ello, una de las figuras que pone en liza GDPR es la del Delegado de Protección de Datos (DPO, en inglés) como miembro independiente para que vele por las buenas prácticas de las organizaciones. Este cargo es obligatorio en la Administración Pública pero no en la empresa privada, aunque son más cada vez los que se sientan en los consejos directivos de las compañías, sobre todo de las grandes.
Cumplido el año, la pregunta que todo el mundo se hace es si el nivel de madurez y cumplimiento tanto de organizaciones, servicios públicos y ciudadanías es alto. Algo que para Fernando Maldonado, analista principal de IDG Research, es complicado cuantificar. “Es una cuestión de percepción individual. El regulador no tiene un proceso de verificación o certificación porque las tecnologías y las sociedades evolucionan constantemente. Nos encontramos ante una carrera de fondo”, asegura. En cualquier caso, y según los análisis de la división de investigación de IDG Communications, la mayor parte de las empresas españolas está satisfecha con su adecuación actual. Sobre todo en la gran cuenta; la pyme, dicen los expertos, todavía tiene que acelerar el paso.
También, explica Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), que España llega con una interiorización de la norma más elevada que sus homólogos europeos. Esto es así por su cultura previa, que se enmarca dentro de la Ley Orgánica de Protección de Datos (LOPD) de 1992. Y por los esfuerzos de la autoridad pertinente, la Agencia Española de Protección de Datos (AEP) que aplicó con rigor la Ley Orgánica y que ahora, además de actuar como organismo de control y sanción llegado el caso, elabora guías y centra sus esfuerzos en tareas de formación, concienciación y certificación. Por ello, a España se le presupone no contribuir en gran escala a estadísticas como que el 70% de las empresas europeas no cumplieron, en los primeros meses, con las solicitudes de acceso y portabilidad de datos, es decir, con las personas que querían obtener copias de su información en el plazo que marcaba el Reglamento, tal y como recoge una investigación de Talend.
Por su parte, también nos encontramos con el eslabón más débil, el del cómputo de la sociedad civil, que según la propia Álvarez “ha asimilado GDPR de una forma muy simplista. La gente tiende a pensar que ahora lo tiene que preguntar todo, y eso no es cierto. En la actualidad hay un gran mensaje de empoderamiento, y da la sensación que solo la tienes en el acto de decir sí o no. No ha llegado una cultura matizada al usuario”.
Grandes aciertos y algún error
365 días después, son pocos los que dudan de que GDPR es un gran acierto en sí mismo. Y que, más que un freno para el negocio, como se pudo llegar a pensar en un principio, supone un impulso hacia la innovación y a nuevos mercados. En palabras de Daniel Otero, gerente del área de protección de datos y privacidad de Ecix Group, el simple hecho de que la normativa una y haga cooperar a todos los departamentos de una empresa, aunque sea en materia de regulación, ya es un avance hacia la proactividad y las nuevas oportunidades. Por tanto, las compañías no solo deben hacer hincapié en las connotaciones restrictivas de la ley (las sanciones), para poner el foco en el valor que ofrece hacerse cargo de derechos humanos que interesan a cada vez más gente.
Según un estudio de Entelgy Innotec, en el haber de GDPR encontramos que ha sido efectivo contra el marketing abusivo (el 85% de las compañías tomaron medidas para actualizar los permisos), ha impuesto pocas pero importantes sanciones, y favorece la comunicación entre Estados. Como paradigma del acierto de la normativa encontramos también a Facebook, empresa que está constantemente en el candelero de la polémica por sus prácticas con los datos de sus usuarios. La popular red social, más allá del caso Cambridge Analytica, ha sido denunciada en multitud de geografías. La comisaria de Justicia, Consumo e Igualdad, Vera Jourová, llegó a afirmar que situaciones como la de esta multinacional “ponen en alza la importancia del Reglamento”. “GDPR nos recuerda lo que está en juego: desde preservar nuestra esfera más íntima hasta proteger el funcionamiento de nuestra democracia y garantizar la sostenibilidad de nuestra economía, cada vez más impulsada por los datos y la transformación digital”.
En el debe, la normativa trata de dar uniformidad a las leyes de los estados, pero no todos han llegado en el mismo estado de madurez, como decíamos, por sus culturas previas. Y, ese diálogo entre países puede ser chocante en muchas ocasiones. Además, y a la hora de multar, cualquier agencia de cualquier país puede imponer una cuantía a una empresa por incumplir GDPR cuando debería ser, por el principio de ‘ventanilla única’, una sola autoridad, la que disponga la compañía por su actividad, la que estudie el caso de sanción. Es decir, Google fue multada en Francia con 50 millones de euros cuando debería ser Irlanda la que hubiese llevado el caso. Y, como las agencias no pueden interpretar la ley, se espera que muchas de las sanciones y agencias sean llevadas a los tribunales por disparidad de opiniones.
En cualquier caso, el avance de GDPR en los próximos años parece asegurado, toda vez que, poco a poco, irán calando más sus preceptos. En definitiva, con sus muchos pros y algún contra, se trata de un escrito que ya están estudiando en otros continentes como ejemplo de regulación en materia de privacidad y protección de datos.
