Hace un año, todas las empresas de Europa se mostraban nerviosas ante la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Los días previos a ese 25 de mayo de 2018 el miedo a recibir sanciones (algunas de hasta veinte millones de euros) se respiraba en el ambiente. Ahora, más de un año después de que esta ley estuviera vigente, ¿ha cambiado la forma en la que se tratan los datos? ¿Quedan aún cosas por hacer?
Son las preguntas que se han hecho en Entelgy, que ha contestado a ambas de manera positiva, “si bien se han producido bastantes cambios en la forma de actuar de las compañías”. “Hemos podido comprobar que las empresas que invierten en cumplimiento en materia de protección de datos están dotando a sus organizaciones de un plus de seguridad y confianza que se verá reflejada tanto en sus relaciones institucionales como comerciales”, ha señalado Laura Burillo Zamora, consultora de seguridad y protección de datos de Entelgy Innotec Security. “Ahora, es vital cumplir con las políticas de privacidad, ofreciendo información clara y sencilla al usuario y, en definitiva, poner en práctica todas los cambios normativos en materia de privacidad para asumirlo como una garantía de seguridad para todas las partes”. A continuación se detallan las cinco claves para entender el RGPD un año después.
1. Es un reglamento efectivo contra el ‘marketing’ abusivo
Como aspecto positivo, se ha notado considerablemente el descenso de las comunicaciones comerciales indiscriminadas a través de campañas de marketing agresivo, al tener que contar con el consentimiento expreso del usuario. De cara a la implementación del RGPD, el 85 % de las empresas tomaron medidas para actualizar los permisos, según un estudio elaborado por HubSpot. “Esto hizo que desaparecieran numerosos envíos masivos de email marketing”, apuntan desde Entelgy.
Reglamento RGPD / MAX PIXEL
Por otro lado, la gente debe ser consciente de la importancia de sus datos personales. “Cada vez más la sociedad está empezando a tomar conciencia de la importancia que tienen los datos personales, ya no sólo porque estén monetizados (nuestros datos valen dinero y las grandes compañías comercian con ellos), sino porque pertenecen a la esfera de nuestra privacidad e intimidad”.
2. Ha habido pocas sanciones, pero importantes
Las multas era una de las mayores preocupaciones de las empresas ante la irrupción del RGPD. Éstas vienen establecidas en el artículo 83 del reglamento, concretamente plantea la posibilidad de sancionar las infracciones con multas administrativas de diez y veinte millones de euros, pero sólo podrán suponer la cantidad equivalente al 2 o 4 % como máximo del volumen de negocio total, con respecto al ejercicio anterior.
La primera gran multa por incumplimiento de la normativa en toda Europa no tardó en llegar. Seis meses después de la entrada en vigor del reglamento, una organización portuguesa fue sancionada con 400.000 euros por permitir el acceso indebido a datos de los usuarios sin su consentimiento expreso. Por otro lado, una compañía alemana y otra austríaca fueron otras de las sancionadas, con una indemnización económica que superaba los 24.000 euros en total.
3. Entra en conflicto con leyes nacionales
Poco después llegó a España la esperada Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales 3/2018 de 5 de diciembre (LOPDGDD), que venía a solucionar las lagunas del RGPD. Pero no fue así y su disposición adicional tercera, en referencia al artículo 58 bis de la Ley Electoral (su primer apartado ha sido declarado recientemente contrario a la Constitución por el Pleno del Tribunal Constitucional) revolucionó la situación, y los especialistas en protección de datos se llevaron las manos a la cabeza al comprobar las previsiones que establece este artículo.
“En primer lugar, considera de interés público y, por tanto, legítima la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el ámbito de sus actividades electorales. En segundo lugar, considera legítimo el tratamiento de los datos personales obtenidos de páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral. Y por último, no considera mercadotecnia el envío de propaganda electoral”, explica Burillo.
4. Un reglamento abierto y difuso
A pesar de la llegada del Reglamento General de Protección de Datos, aún queda bastante por hacer en materia de protección de datos personales y los resultados se verán después de algunos años de su aplicación, cuando queden resueltas algunas de las lagunas que quedan todavía por aclarar. No hay que olvidar que muchas de las disposiciones incluidas en el RGPD son bastante abiertas a la interpretación, ya que tienen un carácter meramente anglosajón.
Algunos de los puntos que no quedan totalmente definidos son:
- No deja claro a qué edad se puede otorgar el consentimiento en el tratamiento, si a los 13 o a los 14 años. Esta duda queda resuelta después de la publicación de la ley española, LOPDGDD. “En nuestro país, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años, salvo en los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico. En caso de menores de 14 años, se requerirá el consentimiento del titular de la patria potestad o tutela, y sólo con el alcance que éstos determinen”, comentan desde la compañía especializada en ciberseguridad, inteligencia y gestión y prevención de riesgos.
- Qué empresas tienen que designar un Delegado de Protección de Datos. Este punto también se desarrolla en el artículo 34 de la LOPDGDD.
- Qué se considera tratamiento de datos a gran escala. El RGPD no define lo que considera a gran escala, aunque el considerando 91 da algunas consideraciones y el Grupo de Trabajo del artículo 29 (GT29) recomienda que se tengan en cuenta los siguientes factores: el número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población; el volumen de datos y/o el rango de diferentes tipos de datos que se están tratando; la duración o permanencia de la actividad de tratamiento de datos; o la extensión geográfica del tratamiento.
5. Es necesaria una actualización del reglamento
“El RGPD ha sido un paso importante en la protección del usuario en internet, pero insuficiente”, opina la experta de Entelgy Innotec Security. Es importante que seamos conscientes de los riesgos que implica el tratamiento de los datos de carácter personal y que se actúe consecuentemente. “A día de hoy, cada vez que se presenta una situación compleja hay que analizar varios considerandos (tan importantes como los propios artículos) en relación con diferentes fuentes como el GT29, informes, resoluciones de la Agencia, etc., Por ello, es necesaria una redacción más clara, no tan abierta a la interpretación, dotando al reglamento de una mayor seguridad jurídica”.
Otro de los puntos a tener en cuenta es que en España se han olvidado de regular “las fuentes de acceso público” en la nueva LOPDGDD (cosa que sí estaba establecido en la antigua LOPD) y que tampoco figuran en el RGPD, pero que sí han hecho en otros países. A pesar de que el espíritu del reglamento es homogeneizar las normativas comunitarias, otorga también libertad a los Estados miembros para desarrollar estos conceptos abiertos a la interpretación y quizá no se consiga ese fin, sino que se aumente el desconcierto y la inseguridad en cuanto a la protección de datos.