El próximo 25 de mayo, se cumple un año de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Los días previos a que esta nueva ley estuviera vigente, en todas las empresas de Europa se respiraba bastante nerviosismo por el miedo a recibir sanciones, algunas de ellas podrían alcanzar hasta los veinte millones de euros. Un año después, ¿ha cambiado la forma en la que se tratan los datos?, ¿quedan aún cosas por hacer?
La respuesta a ambas preguntas es sí, según el análisis realizado por la división de ciberseguridad de la compañía Entelgy, si bien se han producido bastantes cambios en la forma de actuar de las empresas.
“Hemos podido comprobar que las empresas que invierten en cumplimiento en materia de protección de datos están dotando a sus organizaciones de un plus de seguridad y confianza que se verá reflejada tanto en sus relaciones institucionales como comerciales”, comenta Laura Burillo Zamora, consultora de seguridad y protección de datos de Entelgy Innotec Security. “Ahora, es vital cumplir con las políticas de privacidad, ofreciendo información clara y sencilla al usuario y, en definitiva poner en práctica todas los cambios normativos en materia de privacidad para asumirlo como una garantía de seguridad para todas las partes”.
En cualquier caso, la compañía recomienda algunos cambios que se deben tener en cuenta por los legisladores. Estas son las claves para entender el RGPD un año después:
- Efectiva contra el marketing abusivo
Como aspecto positivo, se ha notado considerablemente el descenso de las comunicaciones comerciales indiscriminadas a través de campañas de marketing agresivo, al tener que contar con el consentimiento expreso del usuario. De cara a la implementación del RGPD, el 85% de las empresas tomaron medidas para actualizar los permisos, según un estudio elaborado por HubSpot. Esto hizo que desaparecieran numerosos envíos masivos de email marketing.
De cara a la implementación del RGPD, el 85% de las empresas tomaron medidas para actualizar los permisos
Por otro lado, la gente debe ser consciente de la importancia de sus datos personales. Cada vez más la sociedad está empezando a tomar conciencia de la importancia que tienen los datos personales, ya no sólo porque estén monetizados (nuestros datos valen dinero y las grandes compañías comercian con ellos), sino porque pertenecen a la esfera de nuestra privacidad e intimidad.
- Pocas sanciones, pero importantes
Las multas era una de las mayores preocupaciones de las empresas ante la irrupción del RGPD. Éstas vienen establecidas en el artículo 83 del reglamento, concretamente plantea la posibilidad de sancionar las infracciones con multas administrativas de 10 y 20 millones de euros, pero sólo podrán suponer la cantidad equivalente al 2 o 4% como máximo del volumen de negocio total, con respecto al ejercicio anterior.
Por ejemplo, la comunicación de los datos a un proveedor sin suscribir el correspondiente acuerdo de tratamiento de la información en la forma establecida en el reglamento, podría ser sancionada con la suma máxima de 10 millones de euros o un 2% del volumen de negocio total anual del ejercicio anterior.
La primera gran multa por incumplimiento de la normativa en toda Europa no tardó en llegar. Seis meses después de la entrada en vigor del reglamento, una organización portuguesa fue sancionada con 400.000 euros por permitir el acceso indebido a datos de los usuarios sin su consentimiento expreso. Por otro lado, una compañía alemana y otra austríaca fueron otras de las sancionadas, con una indemnización económica que superaba los 24.000 euros en total.
- Conflicto con leyes nacionales
Poco después llegó a España la esperada Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales 3/2018 de 5 de diciembre (LOPDGDD) que venía a solucionar las lagunas del RGPD pero, no fue así y el contenido su disposición adicional tercera, en referencia al artículo 58 bis de la Ley Electoral (su apartado primero ha sido declarado recientemente contrario a la Constitución por el Pleno del Tribunal Constitucional) revolucionó la situación, y los especialistas en protección de datos se llevaron las manos a la cabeza al comprobar las previsiones que establece este artículo.
En primer lugar, considera de interés público y, por tanto, legítima la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el ámbito de sus actividades electorales; en segundo lugar, considera legítimo el tratamiento de los datos personales obtenidos de páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral y en tercer lugar, no considera mercadotecnia el envío de propaganda electoral.
- Reglamento abierto y difuso
A pesar de la llegada del RGPD, aún queda bastante por hacer en materia de protección de datos personales y los resultados se verán después de algunos años de su aplicación, cuando queden resueltas algunas de las lagunas que quedan todavía por aclarar. No hay que olvidar que muchas de las disposiciones incluidas en el RGPD son bastante abiertas a la interpretación ya que tienen un carácter meramente anglosajón. Algunos de los puntos que no quedan totalmente definidos son:
- No deja claro a qué edad se puede otorgar el consentimiento el tratamiento, si a los 13 o a los 14 años. Esta duda queda resuelta después de la publicación de la ley española, LOPDGDD. En nuestro país, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años, salvo en los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico. En caso de menores de 14 años, se requerirá el consentimiento del titular de la patria potestad o tutela, y sólo con el alcance que éstos determinen.
- Qué empresas tienen que designar un Delegado de Protección de Datos. Este punto también se desarrolla en el artículo 34 de la LOPDGDD.
- Qué se considera tratamiento de datos a gran escala. El RGPD no define lo que considera a gran escala, aunque el considerando 91 da algunas consideraciones y el Grupo de Trabajo del artículo 29 (el GT29) recomienda que se tengan en cuenta los siguientes factores:
- El número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población.
- El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando.
- La duración o permanencia de la actividad de tratamiento de datos.
- La extensión geográfica del tratamiento.
- Actualización necesaria
El RGPD ha sido un paso importante en la protección del usuario en internet, pero insuficiente. Es importante que seamos conscientes de los riesgos que implica el tratamiento de los datos de carácter personal y que se actúe consecuentemente.
A día de hoy, cada vez que se presenta una situación compleja hay que analizar varios considerandos (tan importantes como los propios artículos) en relación con diferentes fuentes como el GT29, informes, resoluciones de la Agencia, etc., Por ello, es necesaria una redacción más clara, no tan abierta a la interpretación, dotando al reglamento de una mayor seguridad jurídica.
Otro de los puntos a tener en cuenta es que en España se han olvidado de regular “las fuentes de acceso público” en la nueva LOPDGDD (cosa que sí estaba establecido en la antigua LOPD) y que tampoco figuran en el RGPD, pero que sí han hecho en otros países. A pesar de que el espíritu del Reglamento es homogeneizar las normativas comunitarias, otorga también libertad a los Estados Miembros para desarrollar estos conceptos abiertos a la interpretación y quizá no se consiga ese fin, sino que se aumente el desconcierto y la inseguridad en cuanto a la protección de datos.