blog

Una vista general al primer año de aplicación del RGPD

Ciberseguridad y Cifra

_ Estibaliz Ruiz De Sabando Grau

Hace ya un año desde que el Reglamento (UE) 2016/679 General de Protección de datos, conocido comúnmente como RGPD, comenzó a ser de aplicación para todos los estados miembros de la Unión Europea, así como para todas las empresas, organizaciones y personas que tratan datos de carácter personal de ciudadanos europeos.

La normativa ha supuesto numerosos cambios en el tratamiento de datos personales, que en nuestro país venía regulándose por la Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD), y no ha estado exenta de polémicas, empezando por ser el primer Reglamento Europeo que regula un Derecho Fundamental amparado en nuestra Constitución Española de forma directa. Nació como parte de la estrategia europea del Mercado Único Digital, la economía del dato y el deseo de establecer una única norma europea que facilitase la libre circulación de los datos personales por el territorio de los estados miembros y que unificase las 28 legislaciones diferentes en una a la vez que otorgase mayor protección a los titulares de dichos datos.

Pero, ¿cuáles han sido los principales cambios que ha traído el RGPD? ¿Qué ha supuesto la aplicación de esta nueva normativa para las empresas y organizaciones que tratan datos personales? ¿Y para los interesados?

El punto más importante es que el RGPD se focaliza en la proactividad (accountability), al contrario de lo que siempre ha primado en el sector que era una posición reactiva, es decir se ha pasado de que las empresas actúen solamente en el caso de que surgieran eventos como incidentes de seguridad o reclamaciones a exigirse que tengan conciencia y diligencia, aplicando las medidas no solo reactivas si no preventivas, que reduzcan los riesgos de que ocurran eventos que puedan suponer un incumplimiento legal.

El régimen sancionador es uno de los más llamativos cambios que ha sufrido la Protección de datos, ya que se contemplan multas de hasta 20 millones de euros o el 4% de la facturación global anual del ejercicio anterior (optándose por la de mayor cuantía).

En lo que se refiere a las reclamaciones a las distintas autoridades de control, se han reportado más de 200.000 casos relativos al incumplimiento del Reglamento, siendo más de una cuarta parte por causa de violaciones de seguridad. En nuestro país, estas reclamaciones han aumentado un 33% en el último año. Respecto al monto total de las multas, éstas rondan alrededor de los 60 millones de euros, ostentando la omnipresente Google el podio de la mayor sanción hasta la fecha, con 50 millones de euros que le fue impuesto por la Autoridad de control francesa.

Ley GDPR

 

¿HA TENIDO UN IMPACTO POSITIVO O NEGATIVO?

El revuelo que causó la necesidad de adaptación de las organizaciones a la nueva normativa no pasó desapercibido, porque no solamente la adecuación al RGPD suponía en muchos casos una inversión importante en recursos y tiempo, sino porque también esta adecuación ha sido tardía, ya que si bien el Reglamento se promulgó en 2016, no ha sido hasta los primeros meses de 2018 que la gran mayoría de empresas han comenzado a ponerse manos a la obra, generándose muchas dudas y prisas por cumplir con las obligaciones estipuladas a tiempo. Sin ir más lejos, los datos apuntaban a que a la entrada del RGPD, el porcentaje de empresas adecuadas no superaba el 15%. Hoy en día, por suerte, las estadísticas señalan una mejor perspectiva si bien quedan cosas por hacer.

Sin embargo, aunque el ajuste a la nueva regulación ha retrasado en muchos casos la producción y ventas, los estudios señalan que las empresas con mayor grado de adecuación han conseguido reducir de forma considerable los incidentes con datos personales lo cual se traduce en ahorro de costes y disminución de los retrasos en el ciclo de ventas a medio y largo plazo. Y no solo eso, sino que además ha supuesto una ventaja competitiva para las organizaciones y mayor eficacia.

Uno de los sectores con más preocupación por las implicaciones de la aplicación del RGPD ha sido el sector publicitario, que veían el Reglamento como una importante barrera para sus actividades de negocio por los estrictos requisitos que suponía el cambio en lo que se refiere a las comunicaciones comerciales. No obstante, en muchos casos la anonimización de datos no ha supuesto un cambio tan radical como el esperado en las actividades publicitarias y la realidad es que no ha afectado de manera negativa a éstas, de hecho, al contrario, se ha comprobado que las buenas prácticas han potenciado la riqueza de los datos obtenidos y la eficacia de la publicidad, pues al recibirse menos spam, la publicidad obtiene mayor atención por parte de los destinatarios.

Por otro lado la mayor concienciación de los individuos ha supuesto que se eleven el número de reclamaciones ante las diferentes autoridades. Los interesados son más conscientes de sus datos y de lo que se puede o no hacer con ellos. Todo esto ha originado que las organizaciones también se encuentren más propensas a la transparencia en cuanto a los incidentes de seguridad de datos, habiéndose aumentado considerablemente la notificación de brechas de seguridad ante el miedo de posibles consecuencias derivadas de las reclamaciones y el deber de proactividad.

 

LA LLEGADA DE LA POLÉMICA LOPD-GDD

Pero el RGPD no llegó solo, unos meses más tarde, el parlamento aprobaría la ley que sustituiría a la antigua LOPD y que complementaría al citado Reglamento, la LOPD-GDD (Ley Orgánica 3/2018 de protección de datos personales y garantía de Derechos digitales), que llegaba con la gran polémica del spam electoral.

La nueva ley se ha limitado a desarrollar ciertas disposiciones del RGPD, aumentando los casos en los que es necesaria la figura del Delegado de Protección de datos para asesorar a las organizaciones en el proceso de implementación y las obligaciones de responsabilidad proactiva, ciertas condiciones para el tratamiento de datos de categorías especiales (o datos sensibles), así como añadir un abanico de nuevos derechos digitales.

Sin embargo, toda la atención la recibió el famoso artículo 58 bis, que habilita a los partidos políticos a recabar datos de opiniones políticas para la realización de actividades durante el periodo electoral, así como realizar comunicaciones al electorado. Polémico artículo que puso de relieve la preocupación de los ciudadanos y que incluso la Agencia Española de Protección de Datos se apresuró a comentar en un comunicado. Las consecuencias las estamos viviendo a día de hoy y ya hay numerosas quejas por publicidad electoral invasiva  que podemos ver desde páginas web o redes sociales hasta en aplicaciones de mensajería como Whatsapp. Veremos en el futuro próximo los resultados que estas prácticas desencadenan, aunque ya se prevén ineficaces si tenemos en cuenta que las formaciones políticas no se sancionarán más allá del apercibimiento, es decir, sin multas económicas.

 

EL FUTURO DE LA PROTECCIÓN DE DATOS

La adecuación definitiva al Reglamento de Protección de datos y la nueva LOPD-GDD no son los únicos retos a los que nos enfrentamos. La evolución de la tecnología, el avance veloz de las nuevas formas de ciberataques, el Internet of Things (IoT), la robótica, el machine learning y la inteligencia artificial ponen de manifiesto la flexibilidad con la que se ha tenido que pensar esta normativa y nos hacen replantearnos el interés y la capacidad de respuesta que se debe plantear ante el cambio, sin dejar de lado la importante normativa que viene en camino como el Reglamento e-Privacy que reformula ciertos aspecto de la regulación de la privacidad y que se pronostica como más restrictivo en comparación al RGPD.

Descubre más