GDPR, año uno: así ha afectado la normativa europea a la privacidad de los ciudadanos y a las grandes empresas

Hoy día 25 de mayo se cumple un año de la entrada en vigor del obligado cumplimiento del Reglamento General de Protección de Datos (RGPD o GDPR), que llevaba desde 2016 siendo adaptado. A pesar de que la normativa europea no suele ser especialmente famosa entre la ciudadanía, el RGPD se hizo especialmente famoso ante el aluvión de (pesados) correos electrónicos informativos y de consentimiento que llegaron (y llenaron) por doquier las bandejas de entrada de aquellos usuarios que utilizaran servicios que trataran con sus datos.

Por parte de las empresas, además de por su obligado cumplimiento incluso aunque no fueran europeas (como en el caso de Google o Facebook), el RGPD se granjeó una gran popularidad por cómo les afectaría si no cumplían los requisitos de tratamiento datos a los que obligaba: multas de 20 millones de euros o del 4% de la facturación.

Más allá de lo que llevó a que el RGPD se hiciera famoso, veamos cuál ha sido su calado real justo un año después de ser protagonista absoluto en Internet.

Los efectos del RGPD en España y en el día a día de los ciudadanos

Aunque en España no contemos con empresas que manejen la cantidad de información en el grado en el que Facebook y Google lo hacen, al formar parte de la Unión Europea y operar sus emprsas en su marco, la obligatoriedad de actualizarse estaba ahí. La sensación que nos queda un año después es que nada ha cambiado de forma demasiado palpable más allá de los avisos de cookies, pese a la nueva (y polémica) Ley de Protección de Datos

Para conocer la posición de un experto, hemos hablado con Samuel Parra, abogado especialista en protección de datos, ciberseguridad y derecho tecnológico y socio en la firma de abogados 451.legal.

Parra afirma cree que a nivel general, "es una normativa que todavía no ha sido entendida por el tejido empresarial mayoritario en este país. En la inmensa mayoría de los casos han entendido este RGPD como una necesaria actualización de unas cláusulas legales relacionadas con la protección de datos. Sin embargo, uno de los mensajes que el RGPD intenta transmitir, que es la puesta en marcha en la empresa de mecanismos para prevenir incidentes que puedan afectar a los datos personales que tratan, no ha calado lo más mínimo, y se siguen haciendo las mismas prácticas que con la normativa anterior".

Es decir, que las empresas sólo se habrían adaptado a los requerimientos del RGPD por imperativo legal, como tocaba, pero sin profundizar realmente en, como dice Parra, asegurar que no se van a producir incidentes futuros.

Acerca de cómo ha impactado el RGPD en la vida cotidiana de los usuarios cuyos datos son objeto de tratamiento por parte de las empresas, la postura del abogado tampoco es demasiado optimista:

No veo que se haya producido una mejora sustancial en ningún aspecto; los usuarios siguen desconocimiento y malinterpretando algunos de los derechos establecidos en el RGPD y las empresas siguen desconociendo las obligaciones que tienen en esta materia, más allá de mal-pedir un consentimiento para instalar una cookie en el navegador del usuario.

Sin embargo, pese a esta realidad, y a que en su opinión "estamos lejos de alcanzar los objetivos que el RGPD persigue", Parra no considera que legislar más suponga una mejor defensa de la protección de datos.

"Considero que la actual regulación es suficiente y de calidad, pero hay que hacer un esfuerzo para que cale en las estructuras de las empresas, ya sean grandes multinacionales o pequeños negocios", afirma Parra. En ese sentido, recalca que no cree que "mayor legislación otorgue mejor defensa a la protección de datos; lo que es necesario es que la normativa que ya existe se cumpla".

Eso, sí, según los datos del Eurobarómetro de marzo de este año, un 67% de los encuestados habían escuchado sobre el RGPD, y un 36% afirmaba entender lo que el RGPD conlleva. Estando lejos de lo ideal, que sería el 100%, hay mejora, y por ejemplo ha aumentado un 20% el conocimiento por parte de la ciudadanía de autoridades de protección de datos.

Su efecto en las grandes empresas tecnológicas: adaptación y pocas multas

Facebook y Google, por la ingente cantidad de datos que manejan de sus usuarios, han sido de las compañías más afectadas por la aplicación de RGPD. Sin embargo, como nos cuenta Samuel Parra, la adaptación de los dos gigantes no ha sido simétrica:

Creo que Google ha hecho un gran esfuerzo y trabajo para respetar el RGPD, teniendo en cuenta la gran cantidad de datos e información que maneja de nosotros y las diferentes vías de entrada que tienen esos datos. Personal y profesionalmente sí he percibido un interés real en Google en cumplir con esta regulación.

No puedo decir lo mismo que Facebook, de hecho justo todo lo contrario; en mi opinión Facebook tienen todavía un gran camino que recorrer pero mucho me temo que no está en su ADN el respetar los derechos de la protección de datos y privacidad.

Parra también pide ejemplo de aplicación de la normativa vigente a los gigantes del sector si queremos que los objetivos del RGPD se cumplan: "deben empezar a dar ejemplo las grandes corporaciones, porque si las pequeñas empresas ven como este derecho es pisoteado con frecuencia por las grandes empresas y además tienen la impresión de que ni son sancionadas, tienen una excusa para no cumplir ellos tampoco".

El aniversario del reglamento llega cuando el debate sobre la privacidad está más en boga que nunca, sobre todo tras el escándalo de Cambridge Analytica protagonizado por los de Mark Zuckerberg, que les ha llevado a cambiar totalmente su visión de la compañía y a afirmar que "el futuro es privado". En el pasado F8, Facebook repitió la palabra privacidad más veces que nunca antes, y en ese sentido parecía más un evento de Apple que de la red social.

La compañía ha prometido cifrar los datos de las conversaciones entre usuarios, como ya hace en WhatsApp, y que podremos intercambiar mensajes entre Facebook Messenger, WhatsApp e Instagram, pero sin explicar todavía ningún detalle en profundidad de su funcionamiento. Mientras llegan tantas promesas, lo que no llega tampoco es la herramienta para eliminar el historial que confirmaron a principios de 2018 que lanzarían.

Se esperaban multas más grandes por lo ambicioso del RGPD en este sentido, pero de momento solo ha habido una grande a Google de 50 millones de euros.

En cualquier caso, está a la espera de ver qué pasa en cuanto a sanciones en Europa, pues además de los 3.000 millones que tiene preparados para una multa en Estados Unidos por Cambridge Analytica, en Europa se enfrenta a una posible multa de 1.400 millones de euros por la brecha que afectó a más de 50 millones de usuarios.

El Comité Europeo de Protección de Datos ha recibido 144.376 quejas y 89.271 notificaciones de brechas de datos durante este año.

Google, por su parte, está haciendo progresos más palpables en este sentido, y en el I/O 2019 ha mostrado que permitirá un control más exhaustivo de los datos en todas sus aplicaciones, que incluso permitirán que se eliminen cada tres meses de forma automática. Aunque es cierto que reconocieron una brecha en Google+ que podría haberles llevado a pagar grandes multas, se salvaron del RGPD por la campana, pues la brecha fue descubierta en marzo.

Eso sí, Google no ha podido librarse de una multa en Francia por violar el RGPD, del máximo que se le podía aplicar, 50 millones de euros. La Comisión Nacional de Informática y de las Libertades francesa lo explicaba así:

"A pesar de las medidas implementadas por Google (herramientas de documentación y configuración), las deficiencias encontradas privan a los usuarios de garantías fundamentales con respecto a los tratamientos que pueden revelar áreas completas de su privacidad".

Es esa cifra la que sustenta el global pagado por multas en Europa, que Politico estima en 56 millones de euros, es decir, que sólo se habrían pagado seis millones adicionales a los de la compañía de Mountain View.

El RGPD, o sus objetivos, más allá de Europa

Como ya hemos mencionado, las empresas y organismos que operan con datos en Europa, pese a no ser europeas, deben cumplir con la legislación si quieren seguir haciéndolo. Precisamente, eso es lo que levantó tanto revuelo el año pasado por estas fechas, la frenética adaptación a la que se enfrentaron para poder seguir prestando servicios sin mucho cambio, aunque algunas empresas como Instapaper se tuvo que marchar de Europa por no adecuarse, y no volvió hasta agosto, tres meses después.

Pese a que las grandes tecnológicas ya tuvieron que adaptarse aquí, con prácticas que también prestan en otros mercados, hay voces que piden que, por ejemplo en Estados Unidos, se aprueben leyes de privacidad y tratamiento de datos similares. La propia Microsoft pedía hace unos días que la regulación estadounidense debía igualar a la comunitaria, y Facebook lleva tiempo pidiendo (auque quepa dudar de los motivos) que se les regule, algo que podría implicar un adopción de medidas similares a las del RGPD en su país natal.

En este sentido, Parra cree que pese a que, efectivamente, Facebook y Google deben aplicar el RGPD, "lo relevante en este caso sería establecer unos estándares mínimos a nivel global respecto de todos los operadores tecnológicos involucrados; un código de buenas prácticas firmados por los grandes recolectores de datos".

Imagen | Sua Balac

Ver todos los comentarios en https://www.genbeta.com

VER 1 Comentario

Portada de Genbeta