Hace justo un año, seguramente te encontraste el buzón de entrada de tu email con una avalancha de correos de distintas compañías advirtiéndote de que habían actualizado sus políticas de privacidad, lo mucho que habían cuidado tus datos hasta ahora, y pidiéndote permiso para seguir utilizándolos.
El motivo estaba en la entrada en vigor del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR o RGPD por sus siglas en español), que pese a haber tenido dos años de implantación parecía haber pillado por banda a un gran número de empresas.
La lectura entonces fue clara: Por parte de los usuarios, seguramente muchos de ellos se cercioraran a través de esos mails de la cantidad de compañías a las que habían cedido sus datos. Por parte de las empresas y organismos públicos, se ponía en marcha una carrera por ser responsable y transparente a la hora de manejar toda esa inmensa cantidad de información. La gran pregunta era quizá, cómo había que hacerlo, y qué costes iba a tener entonces todo aquel proceso tanto para usuarios como para las propias empresas.
La casualidad quiso que el GDPR llegara prácticamente con solo unas semanas de diferencia del que hasta ahora ha sido el mayor escándalo relacionado con la privacidad digital, el caso de Cambridge Analytica. El uso fraudulento de millones de datos obtenidos a través de Facebook por esta agencia de comunicación política para influir en varios procesos electorales nos puso como usuarios frente al espejo de nuestro nudismo digital.
Año I después de Cambridge Analytica: todo lo que ha cambiado y lo que no en Facebook
Las sanciones del GDPR, previstas para las infracciones más altas entre un 4% de la facturación de una compañía o hasta 20 millones de euros (la suma que sea mayor) provocó un afanamiento masivo por cumplir con todos los requisitos. Ahora bien, un año más tarde, ¿Ha cambiado realmente el GDPR la relación de los usuarios europeos con la privacidad y sus datos? ¿Se han podido adaptar las empresas? ¿Lo están haciendo bien? ¿Hay ya sanciones?
Todavía estamos en la 'prehistoria' de la era de la privacidad
En Hipertextual hemos hablado con Carlos Sáiz, vicepresidente de Ecix Group, despacho especializado en derecho tecnológico, protección de datos y en asesorar a grandes empresas en cumplimientos normativos como el impulsado por el GDPR.
El GDPR ha beneficiado a los usuarios, pero más a Google
Él nos cuenta que efectivamente, hace un año, con la entrada en vigor de la normativa, “hubo una especie de paranoia inicial para ponerse al día y cumplir con ella antes del plazo. Ese estado inicial ya ha pasado pero existe todavía mucho trabajo por hacer. Muchas compañías han puesto los pilares en su cumplimiento normativo en la materia, pero se puede decir que estamos todavía en la prehistoria del nuevo paradigma de la privacidad”, nos dice.
La otra gran pregunta, más allá de la adaptación de las empresas, medios y plataformas tecnológicas, es quizá si los usuarios hemos hecho uso de estos nuevos mecanismos y nos hemos concienciado. Los datos del Supervisor Europeo de Protección de Datos, el organismo que a nivel de toda la Unión controla el cumplimiento, nos dicen que hasta marzo de 2019, es decir en los primeros nueve meses de la normativa, se habían recibido 94.622 quejas por parte de ciudadanos sobre el uso que se estaba dando a sus datos y más de 64.000 notificaciones de brechas de seguridad, de las cuales un 52% se habían cerrado a esa misma fecha. Para hacerse una idea, en España la Agencia Española de Protección de Datos (AEPD), las reclamaciones recogidas también habían aumentado más de un 30% de un año para otro con la entrada en vigor de la norma.
“En lo que respecta a las redes sociales, sigue existiendo mucho desconocimiento sobre las finalidades de los usos de nuestros datos y los potenciales riesgos a los que estamos expuestos cuando entregamos tanta información sobre nosotros”
“Los datos demuestran que cada vez hay más reclamaciones por parte de ciudadanos”, recalca Sáiz, que cree que es obvio que “cada vez hay más conciencia sobre los derechos de privacidad”, pero que también, bajo su punto de vista, “en lo que respecta a en las plataformas y redes sociales, sigue existiendo mucho desconocimiento sobre las finalidades de los usos de nuestros datos y los potenciales riesgos a los que estamos expuestos como usuarios cuando entregamos tanta información sobre nosotros”, señala el experto.
Sanciones y puntos de mejora
Otra cuestión es si ya se están aplicando las temidas sanciones y qué impacto verdadero están teniendo para que tanto empresas como organismos tengan más cuidado con los datos. Según el mismo reporte del Servicio Europeo, hasta la fecha se han promovido -pendiente de reclamaciones- multas por valor de 55,9 millones de euros. Entre ellas está la reclamada por Francia a Google, que en sí misma podría superar los 50 millones, y queda pendiente por ver cómo actúa Europa con respecto a Facebook, que tiene una demanda colectiva ya no por Cambridge Analytica -anterior al reglamento- sino por las varias brechas de seguridad que también ha sufrido en los últimos meses.
Europa podría multar con 1.400 millones de euros a Facebook por su brecha de seguridad
¿Pero pueden inquietar estas sanciones, por muy duras que parezcan, a gigantes tecnológicos de este calado? Google por ejemplo registró un beneficio el año pasado superior a los 26.000 millones de euros, por lo que no parece que una multa de 50 pueda inquietarle. ¿Pero a una pequeña empresa? ¿Corren el riesgo las multas del GDPR de abrir una brecha sancionadora muy ardua para las pequeñas compañías e insuficiente para las más grandes?
Sáiz valora que aunque las sanciones puedan parecer gigantescas para empresas pequeñas, hay que puntualizar que el reglamento cuenta con “criterios para ponderar las sanciones sobre los daños causados, el nivel de negligencia o reiteración, el volumen de datos que se han visto afectados... Y por sí mismos pueden ser criterios bastante razonables para ajustar las sanciones a la gravedad de los hechos que vayan a ser castigados. En España hasta ahora se ha mantenido una línea de sanciones bastante consecuente y ajustada a la legislación previa al RGDP, pero es cierto que todavía no se han publicado casos de grandes compañías donde podamos ver sanciones más importantes”, señala.
Según su opinión, todavía quedan muchos puntos de mejora y camino que recorrer. También a la hora de crear criterios de actuación y de cómo se adapta la norma a los distintos sectores y países. En España por ejemplo unos meses después del GDPR entró en vigor la nueva Ley de Protección de Datos.
“Al final es una normativa que se aplica de forma transversal en hospitales, bancos, plataformas digitales, pero también pequeñas empresas. Esto hace que cada tratamiento sea muy diferente. Tenemos que trabajar entre todos para que haya los mayores criterios posibles, fomentando la autorregulación para que cada sector conozca las claves principales en cuanto a conseguir una mayor seguridad jurídica respecto a su programa para cumplir la normativa”, comenta el vicepresidente de ECIX Group, remarcando que aún hace falta “crear una cultura de la privacidad verdadera, donde el cumplimiento del GDPR no se vea como un proyecto que se cierra, sino como un proceso que debe crecer con la empresa, asumiendo la responsabilidad de trabajar con datos personales”.
¿Pero se han convertido los avisos de privacidad en las nuevas 'cookies'?
Con todo, parece claro que a nivel de usuario, el uso de nuestros datos se ha convertido en un trámite más en al que en ocasiones no prestamos demasiada atención. Chema Alonso, CDO de Telefónica, comentaba en una entrada en su blog que en gran medida los permisos que ahora se piden en cualquier web para seguir usando nuestros datos se había convertido en un nuevo botón de 'aceptar cookies', al aglutinar bajo un mismo botón todos los permisos necesarios y de terceros que usan la mayoría de webs ya sea para mostrar publicidad, anotar sus datos de analíticas, trackear información o simplemente funcionar correctamente.
“Al final, los usuarios hacen clic en "Habilitar Todo". Si eres de los que hacen clic en "Rechazar todo" y "Guardar y Salir", puedes seguir navegando igual - normalmente - pero es un proceso para solo los datos de esa visita, porque cuando vuelvas a visitar anónimamente el mismo sitio - supuestamente de forma anónima, que ya sabéis que se hace Web Browsing Fingerprinting y se sabe quién eres sí o sí - te va a volver a pedir lo mismo, con lo que lo habitual es que la gente haga clic en "Seguir Navegando"”, escribía Alonso.
Seguramente, un buen punto de reflexión sobre si el GDPR está funcionando realmente cuando para mucha gente se ha convertido en un trámite más que hacer al entrar en un sitio web.