GDPR, un año después: lo bueno, lo feo y el malo

El 25 de mayo de 2018 empezaba a ser de obligado cumplimiento (después de dos años de adaptación) el nuevo Reglamento General de Protección de Datos (RGPD/GRPD). Después de muchos mails para confirmar nuestro consentimiento para que las empresas usaran nuestros datos, y sin todavía una gran multa (del 4% de la facturación o 20 millones de euros, lo que resulte mayor), pero con varias investigaciones abiertas, ¿cómo ha cambiado realmente nuestra vida en Internet?

Si tuviéramos que resumirlo en lo bueno, lo feo y el malo, sería sencillo. Lo positivo de esta regulación es que los usuarios somos más conscientes de los derechos que nos asisten en relación a nuestros datos personales y la privacidad se ha convertido en la nueva normalidad. Lo feo sería que, teniendo en cuenta la complejidad legal, las empresas aún siguen peleándose por cumplir con los requisitos legales. Y el malo (o al menos la compañía más señalada por los usuarios como infractora de protección de datos) tiene un nombre propio.

Yo reclamo, tú reclamas… todos reclamamos

Todas las fuentes con las que hemos hablado coinciden en un punto: la protección de datos y el respeto, por ley, a la privacidad de los usuarios es algo bien conocido por los usuarios, que cada vez demandamos más este tipo de derechos. No solo eso: los ejercemos.

Según los datos que nos ha ofrecido el Supervisor Europeo de Protección de Datos, las agencias de protección de datos de toda la Unión Europea han recibido alrededor de 94.000 quejas desde el 25 de mayo de 2018. En España, y teniendo en cuenta solo las que están registradas hasta el 31 de diciembre de 2018, las reclamaciones planteadas ante la Agencia Española de Protección de Datos (AEPD) han aumentado casi un 33% (32,8%), pasando de 10.651 a 14.146.

En nuestro país, Google y sus servicios aglutinan el 65% de las reclamaciones interpuestas (125 de 191). Sin embargo, Google (quien, hasta la fecha, también ha recibido la mayor sanción por GDPR, en Francia), ha declinado hacernos cualquier tipo de valoración ni comentario sobre este primer año del reglamento.

En periodo de adaptación tres años después

Los medios de comunicación (9%), otros buscadores de Internet (7%), y Administraciones Públicas y boletines (6%) son el resto de entidades más demandadas España desde que entrara en vigor la normativa europea.

Los usuarios somos más conscientes de nuestros derechos y las empresas aún se están adaptando a GDPR

A tenor de estos datos, puede parecer que las empresas de la llamada economía digital no son las más demandadas por los usuarios ante la autoridad competente en materia de protección de datos. Y, sin embargo, a estos negocios GDPR les sigue resultando, al menos en España, un quebradero de cabeza. Así al menos lo expresa José Luis Zimmermann, director general de adigital, la Asociación Española de la Economía Digital. “Las llamadas de consulta son constantes. Y sigue habiendo muchas dudas sobre temas que incluso pensábamos que ya estaban superados”, nos cuenta.

Pese a que el reglamento se aprobó hace 3 años (se dieron dos de adaptación antes de ser de obligado cumplimiento) y pese a que en España estaba vigente la LOPD (una de las regulaciones más estrictas en materia de protección de datos a nivel europeo), Zimmermann asegura que las empresas españolas siguen en ese periodo de adaptación a GDPR. Es más, dado que recientemente se ha aprobado en España una nueva Ley de Protección de Datos que amplía y complementa la normativa europea, esta adaptación sigue vigente. “Sigue habiendo mucho desconocimiento, ha habido mucha confusión sobre todo con el tema del consentimiento, y la ley que adapta GDPR se ha prolongado durante muchos meses. Las empresas siguen con dudas sobre todo a la hora de conseguir el consentimiento”, asegura Zimmermann.

La paranoia del consentimiento

Dos de cada tres reclamaciones se resuelven a favor del usuario

Seguro que todos recordamos un bombardeo incesante de correos electrónicos en los que las empresas pedían a los usuarios que confirmaran su consentimiento para poder tener y tratar sus datos. “Las empresas se lanzaron a recabar consentimientos cuando no era necesario, pero eso también sirvió para darnos cuenta de a qué servicios estábamos suscritos que ni nos acordábamos”, reflexiona Zimmerman, quien considera que en aquellas semanas “había mucha paranoia” con GDPR. Quizá no sea tan comparable como la que hubo por el cambio del año 2000, pero con sí con mucho ruido, también mediático. El director general de adigital considera que este estado de nerviosismo “era comprensible porque las multas a las que se puede hacer frente son enormes”.

Es más, vaticina que, en el momento en que haya una multa y sea de un importante valor económico por infracción grave “volveremos a la paranoia colectiva”. Zimmermann considera que, pese a que la protección de datos sea, probablemente, de los marcos normativos más conocidos, el desconocimiento sobre la normativa “es enorme y las empresas, incluso las grandes, tienen dudas”.

Un cambio en las reglas del juego

El objetivo de GDPR era tener un conjunto de reglas de privacidad que se interpreten de manera uniforme en todo el continente europeo. ¿Ha funcionado? “Basándonos en los comentarios que recibimos de las agencias, podemos decir que GDPR funciona bien y que los procedimientos de cooperación y coherencia implementados son sólidos y efectivos”, nos asegura Sarah Hanselaer, del Supervisor Europeo de Protección de Datos.

La llegada de GDPR no estuvo exenta de polémica, sobre todo entre las empresas. Hanselaer asegura sin embargo que se han recibido muchas primeras respuestas positivas de la comunidad empresarial. “También hay un marcado aumento en la conciencia entre el público en general sobre la necesidad de protección de datos. La gente ahora sabe a qué tienen derecho y no tienen miedo de pedirlo”, añade Hanselaer.

En esta visión coinciden tanto adigital como Facebook. Fuentes de esta compañía reconocen a Xataka que GDPR les ha cambiado fundamentalmente como empresa y que saben que tienen mucho trabajo que hacer para recuperar la confianza de las personas.

La pregunta, un año después, sigue siendo si GDPR dificulta o facilita los negocios digitales. Las fuentes de Facebook consultadas por Xataka manifiestan que, en la medida en que las empresas mejoren sus prácticas de privacidad, esto debería ayudar a fomentar la confianza de los consumidores y, por tanto, fortalecer la economía digital. Pero, para el director general de adigital, GDPR sigue siendo algo que dificulta el hacer negocios en la economía digital. “Sigue siendo un freno para la puesta en marcha de proyectos y empresas por el tratamiento de datos. Muchas se lo piensan dos veces. Es un esquema que no está en otras latitudes. Es el eterno problema de la economía digital en Europa”, señala.

Un jefe al frente de los datos

Uno de los puntos que parece que las empresas han sabido cumplir mejor es el de la designación de un Jefe de Protección de Datos (Data Protection Office, DPO). Según la información facilitada por la AEPD, hasta el fecha 31 de diciembre de 2018 se habían tramitado la inscripción de 20.043 Delegados de Protección de Datos (17.296 del sector privado y 2.747 del sector público).

"GDPR no está en otras latitudes. Es el eterno problema de la economía digital en Europa" José Luis Zimmermman, adigital

Entre otras cosas, la designación de este responsable está permitiendo agilizar las denuncias, según los datos que nos ha ofrecido la AGPD. Así, durante 2018 se han resuelto 863 reclamaciones interpuestas por los usuarios. Dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelven de forma satisfactoria para el particular. Además, el número de resoluciones emitidas en los 100 primeros días desde la reclamación pasa de un 54 a un 70%. Con ese traslado al responsable o al DPD se consigue resolver la petición del ciudadano en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior.

De qué me quejo y cómo actúo

Pero, cuando llegamos incluso a ir hasta la autoridad competente en protección de datos, ¿de qué nos quejamos? ¿Cuáles son las cosas que más nos inquietan en relación al tratamiento de nuestros datos personales? Las quejas más comunes en Europa se refieren al telemarketing no solicitado o a los correos electrónicos promocionales y las inquietudes relacionadas con los sistemas de videovigilancia. En España, según la AGPD, sigue la misma línea que en años anteriores y se agrupa en las siguientes: Ficheros de Morosidad, Videovigilancia, Servicios de Internet, Reclamación de Deudas, Administración pública, Sanidad, Publicidad (excepto spam), Comercios, transporte y hostelería, Entidades financieras/acreedoras y Publicidad a través de e-mail o teléfono móvil

En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se han recibido 1.784 peticiones en la Agencia. De ellas, casi 200 (191) corresponden a reclamaciones por derecho al olvido, de las que se han estimado de forma total o parcial 74 y 42 han sido inadmitidas.

Una de las consecuencias quizá inesperada es que, con la llegada de GDPR, ha habido un aumento de personas que se han suscrito a la Lista Robinson. “Los usuarios son más conscientes de los derechos que les asisten y cómo ejercerlos”, señala Zimmerman.

Por último, y como dato curioso, cabe recordar que ahora las autoridades europeas tienen un sistema coordinado, de forma que todas ellas pueden participar conjuntamente en la investigación y sanción por posibles errores en la aplicación de GDP. Desde que entró en vigor, se han analizado 395 casos. La Agencia se ha personado como interesada en 237, siendo autoridad líder en 11 de ellos.

Ver todos los comentarios en https://www.xataka.com.co

VER 0 Comentario

Portada de Xataka Colombia