El RGPD: presentación del Reglamento, novedades y lista de verificación
El RGPD: presentación del Reglamento, novedades y lista de verificación
El Reglamento general de protección de datos (RGPD) de la UE tiene como objetivo la regulación del tratamiento de los datos personales para proporcionar así uniformidad en la legislación sobre la protección de datos. Aunque el RGPD se aplica en los 27 Estados miembros de la UE, casi cuatro años después de su última modificación, todavía no se puede hablar de una reforma en la protección de datos a escala europea. Mientras los expertos y los defensores del consumidor critican la lentitud de los legisladores europeos y nacionales, a las empresas les pesa la carga burocrática y la situación jurídica, no siempre transparente. A continuación, te ofrecemos un resumen de la nueva situación jurídica y te detallamos las medidas que debes aplicar en tu empresa.
Aplicación inmediata: un reglamento, no una directiva
A escala europea, las leyes suelen prolongarse en el tiempo, incluso después de entrar en vigor oficialmente. Así, una vez acordada una directiva europea tras largos debates en el Parlamento de Bruselas, los 27 Estados miembros conceden amplios períodos transitorios para que las jurisprudencias nacionales asuman la ley. También puede pasar mucho tiempo hasta que finalmente se presiona a las empresas para que apliquen la nueva normativa.
Pero, además de directivas, hay un segundo tipo de normativa europea: los reglamentos. Estos no ofrecen libertades temporales ni tampoco de contenido, sino que son jurídicamente vinculantes y aplicables de inmediato para todos los Estados (afectando así, también, a la práctica empresarial de toda pyme). Este es el caso del RGPD, que no es una directriz, sino un reglamento.
En mayo de 2016 entró en vigor el Reglamento europeo de protección de datos con un período transitorio de dos años y el 25 de mayo de 2018 pasó a aplicarse en todos los Estados miembros como ley de protección de datos oficial y, por lo tanto, superior a la normativa nacional. Así, todas las empresas y autoridades públicas que trabajan con datos personales deben aplicar desde entonces las nuevas disposiciones de la Unión Europea sobre protección de datos y tomar las medidas necesarias en sus operaciones. Si no se cumple la normativa europea, las sanciones pueden ascender hasta los 20 millones de euros o hasta el 4 % del volumen de ventas mundial del ejercicio fiscal anterior.
Sin embargo, a pesar de que ha pasado tiempo suficiente para que las empresas se acogieran a lo estipulado en el RGPD, hay datos que demuestran que aún queda camino por recorrer. Un ejemplo de ello es el estudio del bufete DLA Piper, “DLA Piper GDPR fines and data breach survey: January 2021”, donde se presenta que el valor total de las multas impuestas desde mayo de 2018. España ocupa el quinto lugar en el ranking, después de Italia, Alemania, Francia y Reino Unido. Más concretamente, en el año 2021 contando hasta septiembre, según el Informe “La evolución del dato: del big data a la inteligencia artificial” en Europa se habían impuestos multas que en total superaban la cantidad de los 1000 millones de euros.
Los cambios del RGPD y los problemas causados en las empresas
Entre los mayores obstáculos se siguen encontrando la falta de seguridad jurídica y el esfuerzo que supone la aplicación del RGPD. Muchos de los afectados no están de acuerdo con la necesidad de obtener el consentimiento del usuario para cada intercambio de datos ni con tener que informarle al respecto. Además, hay empresas que, debido a la pandemia, no han podido terminar de implementar el RGPD. En definitiva, incluso después de tres años de la aplicación del RGPD, muchas empresas siguen sin saber cómo integrar la nueva normativa de protección de datos en su propia red TI. Como resultado, muchos empresarios deben hacer frente a un procedimiento de multa.
Adiciones: cláusulas de apertura y la LOPD GDD
Los reglamentos europeos tienen prioridad sobre las leyes nacionales y prevalecen en caso de contradicciones. No obstante, el RGPD contiene algunas cláusulas de apertura que permiten a los Estados atenuar o intensificar ciertas reglas. Así, en diciembre de 2018 entró en vigor la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Personales (LOPD GDD), que deroga la antigua LOPD de 1999 y da cobertura al RGPD a nivel nacional. Para las empresas, esto significa que las directrices del RGPD no se ven modificadas, sino ratificadas.
Puedes encontrar el texto íntegro del Reglamento general de protección de datos en EUR-Lex.
Objetivos: uniformidad europea de la protección de datos
El objetivo principal del RGPD es unificar los principios de protección de datos de la Unión Europea. Aunque anteriormente la directiva de 1995 se aplicaba de manera diferente a cada Estado miembro, el Reglamento actual ofrece poco margen para iniciativas nacionales.
Otro ámbito al que se dirige el RGPD está relacionado con los grandes cambios tecnológicos de los últimos 25 años y con los futuros desarrollos técnicos, por lo que la protección de datos todavía se enfrenta a muchos retos. Un ejemplo de ello es que la recopilación de los datos biométricos de los trabajadores es obligatoria en algunas profesiones con máquinas inteligentes. Si una empresa trata dichos datos con cautela, esto no supone ningún problema. El problema se plantea si la empresa, después de haber obtenido dichos datos, se ve tentada a utilizarlos para otros fines como, por ejemplo, el control del rendimiento. A este tipo de utilización de los datos personales debe responder el Reglamento europeo de protección de datos.
Contenido: desarrollo de principios probados
Un resumen de las disposiciones del Reglamento de protección de datos debe, en primer lugar, recoger las modificaciones relacionadas con los datos personales. En este aspecto es donde el Reglamento europeo de protección de datos ha introducido los cambios más importantes: si bien no en las dimensiones como estaba planeado, el RGPD ha reforzado visiblemente la protección de los datos de los particulares. Las diferentes disposiciones en este sentido regulan de manera comprensible y adecuada su recopilación.
Con ello, por ejemplo, se amplió la responsabilidad proactiva de las empresas (accountability). Esto quiere decir que las empresas están sujetas a obligaciones más detalladas de documentación con respecto a los datos que recopilan, los objetivos de su utilización y la forma de procesarlos desde que el RGPD entró en vigor. En este sentido, el Reglamento general de protección de datos supone principalmente un gran volumen de trabajo en términos de documentación.
Los principios más importantes son:
- Prohibición salvo autorización: este principio significa que a priori se prohíbe cualquier procesamiento de datos personales a no ser que esté permitido. Esta era la situación hasta ahora y todavía sigue generando controversias. Después de todo, no todos los datos son igual de importantes. Con el Reglamento europeo de protección de datos, el principio de prohibición se aplica indiscriminadamente a cualquier tipo de datos personales.
- Limitación de la finalidad: las empresas solo pueden recopilar y editar datos con unos objetivos específicos. Para ello, al empezar a recogerlos deben formularse los objetivos y documentarse el uso futuro de los datos. Un ejemplo del mundo laboral es que los datos que una empresa ha recopilado y guardado justificadamente para el cumplimiento de un contrato no pueden utilizarse para fines publicitarios. Este es otro de los fines que necesita una justificación por separado y solo se permiten las modificaciones posteriores de los objetivos bajo determinadas circunstancias.
- Minimización de datos: el principio de la minimización de datos exige que las empresas recopilen la menor cantidad de datos posible, aplicando el lema “lo menos posible y tanto como sea necesario”. Así, no se puede recopilar más de lo requerido para conseguir el objetivo previsto con la obtención de datos. Con ello, este principio prohíbe la recopilación de datos “desmedida”.
- Transparencia: el tratamiento de los datos debe ser comprensible para los interesados. Esto, por un lado, requiere avisos de privacidad claros y, por otro, significa mayores derechos para los usuarios. Como hasta ahora, las empresas deben comunicar bajo petición cuáles son los datos existentes y cómo se van a utilizar.
- Confidencialidad: las empresas tienen la obligación de proteger los datos personales de sus clientes de forma técnica y organizativa ya sea del tratamiento o modificación no autorizados, del robo o de la destrucción de dichos datos. Una novedad es, sin embargo, la obligación explícita a aplicar medidas técnicas de protección. Sin embargo, estas medidas no están formuladas en el RGPD de forma precisa y ofrecen cierto margen interpretativo. En caso del robo de información, es importante que las medidas técnicas y organizativas de protección hayan resultado adecuadas para el riesgo planteado y el tipo de datos almacenados.
Afectados: empresas y delegados de protección de datos
En primer lugar, el Reglamento europeo de protección de datos trajo buenas noticias para los consumidores y los interesados en el procesamiento de datos, a los que se aplica la protección ampliada recogida por el RGPD, aunque su normativa también afecta a los derechos de los trabajadores.
El RGPD también tuvo especial relevancia para el grupo profesional de los delegados de protección de datos (DPO), cuyo número ha aumentado considerablemente debido a dicho reglamento. Desde su implantación, todos los organismos públicos y empresas en las que sus actividades principales hagan referencia a la manipulación de datos personales deben designar a un delegado de protección de datos. Aun cuando la actividad principal no esté relacionada con el tratamiento de datos, debe nombrarse a un delegado de protección de datos cuando haya al menos 20 personas que se ocupen del tratamiento automatizado de los datos personales, lo que tiene validez para muchas empresas de mediana envergadura.
Asimismo, para los delegados de protección de datos que trabajaban para una empresa, el RGPD supuso un cambio significativo, puesto que su papel en ella se modificaba radicalmente: si consiguieron el cumplimiento de las medidas de protección de datos, ahora son los responsables de supervisarlas. Es decir, se amplían sus responsabilidades y su campo de actividad.
La normativa implica mucho trabajo para los delegados de protección de datos, pues tienen que conocer al detalle esta situación jurídica. Sin embargo, la normativa también plantea aspectos positivos. Como indica el artículo 39 del texto legal del que versa esta guía, las funciones del delegado de protección de datos son:
(…)
- informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
- cooperar con la autoridad de control;
- actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Dicho esto, a continuación, te ofrecemos un resumen del RGPD que tiene en cuenta, sobre todo, las actividades e implicaciones elementales para gestores de páginas web y para empresas.
¿Eres cliente de IONOS? Aquí puedes encontrar una lista de requisitos con toda la información a la que tienes que prestar atención como operador de una web para el cumplimiento del RGPD.
RGDP: repercusiones para las empresas
Aunque no se da una restructuración profunda de la normativa sobre protección de datos, el Reglamento europeo de protección de datos sí introdujo ciertas modificaciones que las empresas deben tener en cuenta obligatoriamente e integrar en su flujo de trabajo al desarrollar sus rutinas laborales con datos personales (principio de privacy by design). En caso contrario se estaría infringiendo el derecho europeo.
Seguridad general de los datos en la empresa
- Evaluación del impacto de la protección de los datos: las empresas tienen la obligación de llevar a cabo evaluaciones de riesgos y también de definir las medidas de protección adoptadas para minimizarlos. Esta norma es especialmente relevante cuando las empresas quieren usar los recursos de la nube de forma segura, pues en un servicio como tal se trabaja a menudo con grandes cantidades de datos personales. Esto tiene mayores consecuencias para las empresas que almacenan datos sanitarios, puesto que son especialmente sensibles y su difusión tiene especial relevancia para los interesados.
- Datos de los trabajadores: otra piedra de toque es el modo en que las empresas procesan los datos de sus trabajadores. Las disposiciones correspondientes en el RGPD también afectan a los departamentos de Recursos Humanos, en los que también repercuten dichas modificaciones.
- Delegados de protección de datos: estos son una figura esencial para muchas empresas. Los delegados de protección de datos supervisan la estrategia de protección de datos elaborada individualmente y el cumplimiento del RGPD, lo que no solo afecta a empresas que trabajan con grandes cantidades de datos personales, sino que toda empresa con más de 20 trabajadores dedicados al procesamiento de datos personales debe recurrir a un delegado de protección de datos.
- Obligaciones de notificación: las especificaciones del RGPD sobre cómo proceder ante filtraciones de datos son más estrictas que las normas anteriores. Cuando se tenga conocimiento sobre incidentes de seguridad, estos deben notificarse en un plazo de 72 horas tanto a los interesados como a las autoridades responsables.
- Responsabilidad y multas: las empresas pueden tener que responsabilizarse por las infracciones realizadas en el manejo de los datos recogidos, lo que puede traducirse en multas elevadas.
Sigue fuentes oficiales y artículos con información actualizada para informarte sobre las novedades relacionados con el RGPD.
Seguridad de datos personales
- Obligaciones de documentación: un aspecto fundamental del Reglamento de protección de datos se centra en la responsabilidad proactiva de las empresas, también llamada accountability. A diferencia de lo que se hizo en el pasado, las empresas tienen la obligación de acreditar la protección de datos mediante documentación interna. Así, deben poder demostrar a las autoridades en cualquier momento y mediante la presentación del registro correspondiente qué datos se han almacenado y con qué finalidad, cómo se procesan y cuándo se eliminan.
- Privacy by design (privacidad desde el diseño): el principio privacy by design significa que las empresas deben tener en cuenta la protección de datos incluso en el diseño técnico de sus procesos comerciales. Así, técnicamente no pueden implementar medidas de protección de datos a posteriori, es decir, de manera secundaria, sino integrarlas en el proceso de trabajo en la fase de desarrollo. Por lo tanto, los productos y los procesos deben planearse de modo que estos traten con la menor cantidad de datos personales posible.
- Privacy by default (privacidad por defecto): esta disposición del Reglamento general de protección de datos ordena que debe predefinirse técnicamente la variante que mejor garantice la protección de datos, lo que evita que los consumidores lidien con ajustes técnicos complejos para conseguir limitaciones en el procesamiento de datos.
- Fundamentos de la autorización (consentimiento, convenio): en la mayoría de los casos los interesados también tienen que consentir explícitamente el uso de sus datos personales y además el consentimiento del trabajador o consumidor solo es aplicable a los usos especificados. Esta declaración debe formularse inteligiblemente y, en principio, puede revocarse, algo que debe ser tan fácil como la exposición en sí del consentimiento. Con el RGPD han aumentado los requisitos para una autorización efectiva, de modo que una disparidad muy amplia entre los implicados puede imposibilitar la voluntariedad, así como la generación de la concesión de celebración del contrato.
- Supresión de datos: solo se pueden conservar los datos personales durante el tiempo necesario para la finalidad prevista. Si se extingue la autorización para el tratamiento de los mismos (se ha revocado el consentimiento o se ha cumplido el contrato), estos deben eliminarse.
- Derecho de acceso y derecho de supresión: los ciudadanos europeos tienen derecho a conocer qué tipo de datos tiene una empresa sobre su persona y cómo los utiliza. Además, los consumidores también pueden exigir a la empresa que elimine sus datos. Una gran empresa como Google también debe cumplir este “derecho al olvido” y eliminar de los resultados de su buscador, bajo solicitud, los enlaces a la información personal..
Consecuencias para los gestores de páginas web
El Reglamento europeo de protección de datos no incluye reglas explícitas sobre el comercio online, sino que en él se formulan más bien principios generales de protección de datos cuyas partes están reguladas por otras leyes y reglamentos. Sin embargo, las abstractas normas del RGPD también aportaron novedades para el comercio online, información que te detallamos en los dos apartados siguientes.
Lo que (de momento) no cambia
Lo más importante es que, junto con las regulaciones ya mencionadas para las empresas, el RGPD introdujo, en principio, relativamente pocas modificaciones para el comercio online. Las normas con respecto a los temas más importantes para los gestores de páginas web (cookies, seguimiento de los usuarios, spam y marketing directo) se regulan en otro reglamento. Mientras tanto, los gestores de páginas web se rigen por el RGPD y por los principios generales de protección de datos de la LOPD y GDD, que recoge los principios del RGPD en forma de ley de aplicación nacional.
No obstante, el RGPD es, en cierto sentido, una solución provisional, pues, en principio, junto con él y la LOPD-GDD, entraría en vigor una nueva normativa sobre protección de datos: el Reglamento ePrivacy o de Privacidad Electrónica de la Unión Europea. El momento en el que entre en vigor es aún desconocido.
El borrador que aún se discute prevé estrictos requisitos de consentimiento para cookies. Cuando el proyecto se convierta en ley, esto tendría consecuencias significativas en el seguimiento, la segmentación y la publicidad personalizada. Además, aún no se ha determinado qué cambios se producirían en el proceso legislativo. No obstante, los gestores de páginas web y los comercios online no deben perderlo de vista. A diferencia del Reglamento general de protección de datos, que regula los principios de protección de datos, el Reglamento ePrivacy se refiere a un sector específico, la protección de la privacidad en la vida diaria digital, de ahí que a los gestores de páginas web se vayan a tener que enfrentar a nuevas normas.
Lo que sí ha cambiado
¿Qué modificaciones se introdujeron en mayo de 2018 con el Reglamento europeo de protección de datos? Los cambios más importantes para los gestores de páginas web son:
- La amplia obligación de documentación acreditativa del RGPD
- Permisos más complejos
- Los principios básicos de privacy by design y privacy by default
- Mayores derechos de acceso y derecho de supresión
- El derecho a la transferibilidad de los datos
- Deberes informativos más amplios (p. ej., para la declaración de privacidad de una página web)
- La prohibición de asociación en las autorizaciones
- Multas muy elevadas
En los párrafos anteriores ya se han explicado algunos puntos. Te presentamos ahora la declaración de privacidad y la prohibición de asociación, puesto que ambos conciernen principalmente a los gestores de páginas web.
El consentimiento y la declaración de la privacidad no son lo mismo. El consentimiento del usuario, indispensable para el procesamiento de datos no autorizados por una norma jurídica, es la confirmación activa del usuario de que está de acuerdo con las condiciones de protección de datos de una empresa. La declaración de la privacidad, sin embargo, es el texto en el que una empresa expone a sus clientes sus medidas de protección de datos y resulta obligatorio en todas las páginas web.
Las normas sobre la política de privacidad están entre las novedades del RGPD más importantes para los gestores de páginas web, y es que todas las páginas web deben contener un aviso de privacidad. El apartado 2 del artículo 13 del RGPD recoge una lista detallada de los datos que debe contener toda declaración de privacidad. Asimismo, su forma también está regulada por el Reglamento europeo de protección de datos: dicha declaración o aviso debe aparecer en lenguaje claro y comprensible, de ahí que a la transparencia juegue un papel esencial (art. 12).
“El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.”
- Apartado 1 del artículo 12 del RGPD sobre disposiciones en materia de protección de datos (Fuente: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679)
Por el contrario, en la prohibición de asociación es donde los expertos encuentran las mayores restricciones del Reglamento general de protección de datos para la industria informática. Según la prohibición de asociación, los gestores de páginas web ya no pueden obligar a sus clientes potenciales a ceder los datos que no sean necesarios para las actividades en cuestión. Como ejemplo, si para la celebración del contrato se exige simultáneamente la suscripción a la newsletter, se estaría infringiendo el derecho de la UE. El principio más importante del consentimiento es la libre voluntad. En muchos consentimientos acoplados, la libre voluntad puede brillar por su ausencia, de ahí que los consentimientos obtenidos así sean, en consecuencia, ineficaces.
“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”
– Artículo 7.4 del RGPD sobre las condiciones para el consentimiento (fuente: http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679)
Por último, es indispensable tener en cuenta las modificaciones en las obligaciones de documentación, en las bases del consentimiento, en almacenamiento, en derechos de acceso y en derecho de supresión. En particular, puede que haya nuevas regulaciones que afecten tanto a gestores de páginas web como a empresas.
Medidas: lista de verificación para gestores de páginas web y empresas
De cara a aplicar el Reglamento europeo de protección de datos, en primer lugar, debes considerar que las medidas necesarias se imponen de manera diferente en función de cada empresa. No obstante, hay algunas precauciones que toda empresa debe tomar y que detallamos a continuación:
- Establece los procesos de documentación para el tratamiento de datos personales.
- Crea un directorio para las tareas de procesamiento de datos.
- Crea vías de comunicación para las consultas de los clientes sobre protección de datos.
- Evalúa si es necesario recurrir a un delegado de protección de datos.
- Adapta la declaración de privacidad de tu página a las nuevas regulaciones.
- Consulta con el jefe del departamento técnico y los delegados de protección de datos si las medidas técnicas actuales sobre protección de datos son suficientes. En algunas circunstancias será necesario recurrir a otras medidas o integrar mejor en la infraestructura de TI las ya existentes.
- Todos los datos personales recopilados que infringen la prohibición de asociación deben recabarse de otro modo y obtenerse de manera voluntaria.
- Si has recurrido a servicios externos para procesar datos personales para tu empresa, debes consultarles si los acuerdos celebrados son de conformidad con la reforma sobre protección de datos. Adapta los acuerdos a las nuevas exigencias.
- Comprueba la manera en que solicitas el consentimiento de tus clientes en tu tienda online y adapta dichos procedimientos a las disposiciones del RGPD.
- Mantente actualizado sobre todo lo relativo al Reglamento ePrivacy. En el futuro podrás regular cómo los negocios online tratan con herramientas de análisis y de seguimiento.
- Si no estás seguro, busca asesoramiento profesional.
¿Lo sabías? El RGPD debe garantizar la protección de los datos personales de un tratamiento ilegal o no autorizado. Por ello, se recomienda el uso de un certificado SSL para tu tienda online o página web.
Reacciones al Reglamento general de protección de datos
La aprobación del RGPD levantó opiniones tanto positivas como negativas. Aun así, lo que queda claro grosso modo es que el Reglamento aporta seguridad a los consumidores y las empresas y establece las mismas condiciones para todos los agentes del mercado.
Como conclusión, te presentamos algunas de las reacciones que se produjeronsobre el Reglamento europeo de protección de datos.
“La normativa europea, como todas las que proceden desde Bruselas, trae de cabeza a las empresas de todo el Viejo Continente, incapaces no ya solo de implementar los cambios de política y técnicos que requiere, sino también de entender la propia ley. Un estudio publicado esta semana por NetApp hacía hincapié en esta materia: más del 70 % de las organizaciones manifiesta tener cierto grado de preocupación por cumplir la normativa dentro del plazo estipulado. Pero más grave es el desconocimiento palpable en el tejido empresarial respecto al RGPD: Alemania es el territorio mejor informado al respecto, y sin embargo, solo el 17 % de los encuestados asegura comprender la nueva normativa en toda su extensión.” - El Mundo (Fuente: http://www.elmundo.es/economia/2017/05/15/59196edb22601ddd6e8b4596.html)
“We regret that much of the ambition of the original data protection package was lost, due to one of the biggest lobbying campaigns in European history. However, we congratulate the European Parliament and, in particular, the successful Luxembourg Presidency of the EU last year, for saving the essence of European data protection legislation”. («Lamentamos que gran parte de la ambición del paquete original en materia de protección de datos se haya perdido debido a una de las mayores campañas de presión la historia de Europa. Sin embargo, felicitamos al Parlamento Europeo y, en particular, a la brillante Presidencia luxemburguesa de la UE el año pasado por salvar la esencia de la legislación europea en protección de datos.») - European Digital Rights (Fuente: https://edri.org/press-release-data-protection-and-passenger-name-record-package-to-be-voted-on-tomorrow/)
Efectos hasta la fecha del RGPD en empresas y consumidores
Las posibles consecuencias del Reglamento europeo de protección de datos han sido objeto de debate durante años y parece que algunas predicciones, tanto positivas como negativas, se están haciendo realidad desde su implantación. Estos han sido los cambios más relevantes relacionados con el RGPD, que afectan tanto a empresas como a consumidores.
La mala implementación es una carga para las pymes
En este sentido, muchos medios pusieron de manifiesto que un número bastante elevado de empresas no estaban preparadas para aplicar el Reglamento general de protección de datos. En concreto, las pymes siguen siendo más lentas a la hora de ponerse al día, lo que en teoría podría repercutir negativamente en los resultados económicos, aunque hasta la fecha no hay datos exactos al respecto. Por el contrario, las empresas digitales nativas, pudieron sobrevivir a los cambios gracias a un presupuesto millonario y a una experiencia profesional consolidada e incluso utilizaron el RGPD para sus propios fines publicitarios.
Repercusiones en la economía digital mundial
El RGPD no es solo fuente de confusión en nuestro territorio, sino también allende fronteras, por ejemplo, en los EE. UU., donde muchas empresas, en lugar de adaptar su normativa a la nueva orden europea, bloquean a usuarios con IP europea, reducen la oferta informativa o exigen un recargo a cambio de contenido. A esto se añaden las pequeñas páginas que por miedo a las sanciones han desaparecido de la red. Estos eventos se alinean en el escenario de la “fuga de datos” del que los sectores críticos del RGPD recelan.
Al mismo tiempo, la entrada en vigor del RGPD ha motivado un debate internacional alrededor de la protección de los datos personales que, según los expertos, hace tiempo que debía haberse abordado. Hoy, los grandes grupos, como Alphabet (Google) o Meta (Facebook, WhatsApp, Intragram), se sitúan con mayor frecuencia en el foco de atención público y se observan desde un punto de vista más crítico.
Un nuevo patrón de estafa basado en las sanciones
La gran “oleada de sanciones” que muchos actores del mercado temieron durante un tiempo nunca llegó a producirse. Pese a todo, desde enero de 2019 se vienen avistando en muchas empresas, con creciente frecuencia, supuestas “multas” en la forma de correos electrónicos que suelen contener malware alojado en archivos adjuntos, por lo que deberían clasificarse de inmediato como correo basura y eliminarse.
Lee aquí cómo funciona el phishing en la Digital Guide de IONOS.
La AEPD (Agencia Española de Protección de Datos) también alerta de las supuestas consultoras que ofrecen sus servicios de forma gratuita a las pymes. En este patrón de fraude, la consultora se pone en contacto con la empresa y, generando miedo a las sanciones, logra que la pyme acepte sus servicios gratuitos si solicitase créditos de formación financiados con fondos públicos (FUNDEA). La consultora ofrece estos cursos pagados por los contribuyentes y servicios gratuitos de consultoría de RGPD que son insuficientes y que podrían acarrear problemas serios para las empresas. Otras empresas fraudulentas ofrecen sus servicios a muy bajo coste o incluso fingen estar avaladas por la AEPD. En vista de la picaresca en torno al RGPD, la Asociación Profesional Española de Privacidad (APEP) ha publicado en su web un decálogo con el fin de apoyar a las empresas en su búsqueda de agencia.
La fase de transición es pasado: las sanciones del RGPD
Si bien la ola de pánico ante las sanciones se fue desinflando progresivamente cuando pasaron los primeros meses, la AEPD ya informó de un notable incremento en las denuncias por parte de los usuarios, lo cual se interpretó positivamente como una toma de conciencia por parte del consumidor sobre los derechos que le amparan.
Las empresas en España no han conseguido salvarse de las sanciones del RGPD. Así lo demuestran páginas web como GDPR Enforcement Tracker que recoge por las multas hechas públicas impuestas por país, fecha, motivo de la sanción, etc.
La jurisprudencia arroja un poco de luz en la confusión
La entrada en vigor del RGPD trajo consigo muchas preguntas. De pronto, poner el nombre en los timbres –como se acostumbra a hacer en algunas ciudades– o publicar listas de nombres en las webs de asociaciones deportivas empezó a levantar dudas. En vista del Reglamento, colgar una lista de vecinos morosos o del gasto energético por familia en la portería puede estar infringiendo la ley.
En otras cuestiones, como en la del derecho al olvido, la jurisprudencia ha logrado una mayor claridad. En junio de 2018 el Tribunal Constitucional se pronunció por primera vez, desde la entrada en vigor del RGPD, en materia de protección de datos, a pesar de que los hechos tuvieron lugar cuando la antigua LOPD estaba vigente. La sentencia considera que se vulneraron los derechos a la intimidad, al honor y la protección de datos de dos personas cuyos nombres fueron publicados en relación con un delito de hace más de 30 años. La noticia podía encontrarse fácilmente en la hemeroteca y los nombres podían buscarse fácilmente en Internet.
En otras partes del mundo empieza también a prestarse atención a la protección de los datos en Internet y en otras aplicaciones digitales. Un ejemplo de ello es la entrada en vigor en enero de 2020 de la California Consumer Privacy Act en el estado de California, que coincide con el RGPD en algunos aspectos, si bien también difiere en muchos otros.
Por favor, ten en cuenta el aviso legal relativo a este artículo.