Faltan escasas semanas de que se cumpla el primer aniversario de la entrada en vigor en España del Reglamento General de Protección de Datos, el GDPR por sus siglas en inglés, que la Comisión Europea imponía a los países miembros como forma de devolver el control al usuario sobre su información digital, garantizando unos estándares de privacidad en su tratamiento por las empresas e incrementando, por tanto, los requerimientos legales para estas. La nueva normativa busca también lograr una mayor transparencia ante incidentes cibernéticos. Así, desde el 25 de mayo de 2018, las organizaciones que manejen información personal de sus consumidores están obligadas a cumplir con determinadas pautas de trabajo y actuación o se exponen a ser multadas con sanciones que pueden llegar hasta los 20 millones de euros o el 4% de sus ingresos anuales.
Para las empresas, esto se ha traducido en un proceso de actualización que, en muchos casos, ha tenido más incertidumbres que certezas y aún no está del todo concluido. Para los usuarios, además de la avalancha de emails recordatorios de servicios a los que se estaba suscrito y que necesitaban de consentimiento, el GDPR ha contribuido a fomentar una cierta cultura de alerta, control y prevención sobre la información propia. El escenario que se ha ido delimitando en los meses pasados desde aquel 25 de mayo es complejo y está aún sin cerrar. Para entenderlo, conviene repasar varios de los hitos principales del último año.
Más de 206.00 casos reportados en Europa en los nueve primeros meses
Las primeras estimaciones hablan de un mayor número de denuncias que de notificaciones. Según un primer informe del Consejo Europeo de Protección de Datos, el EDPB por sus siglas en inglés, durante los primeros nueve meses de implantación de la norma las autoridades supervisoras de los 31 países del Espacio Económico Europeo han reportado 206.326 casos. De estos, 94.622 estuvieron basados en denuncias, mientras que 64.684 se correspondieron con casos iniciados por la notificación de una brecha de datos. El resto, 47.020, tienen diversos orígenes. Más de la mitad del total de casos reportados, el 52%, se ha cerrado ya, y un 1% están en fase de apelación.
670 brechas de seguridad en España hasta finales de enero
Un estudio de la firma legal DLA Piper de los ocho primeros meses de entrada en vigor del GDPR calcula los datos de incidentes en este periodo en 59.430 casos en toda Europa; aunque las fuentes son distintas, las estadísticas guardan correlación con las del EDPB. En este informe, se señalan 670 brechas notificadas en España. Esto sitúa al país como 12 de los 31 países de la zona económica europea en número de incidentes. Aunque está en la mitad superior de la tabla, la situación es muy distinta a la de los cabezas de listado. En Holanda, en el mismo periodo, se han detectado 15.400 brechas; 12.600 en Alemania y 10.600 en Reino Unido. De hecho, cuando se analiza el dato de número de incidentes por cada 100.000 personas, España se sitúa a la cola con 1,3, muy lejos de Holanda, que repite la primera posición con 89,8 casos.
Ya se han producido las primeras multas
Aunque de cuantías muy diversas. La EDBP cifra en 55.955.871 euros el total de sanciones económicas de los primeros nueve meses de vigencia de la GDPR, pero la práctica totalidad de esta cantidad se corresponde a una única sanción: la multa de Francia a Google. El organismo regulador francés, el CNIL, castigaba a la multinacional con 50 millones de euros por “falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de los anuncios”.
Excluyendo esa cantidad, la Asociación Internacional de Profesionales de la Privacidad estima en 66.000 euros la cantidad media con la que se ha sancionado a las organizaciones.
Las organizaciones han ido cumpliendo a regañadientes con la normativa
En los casos en los que ya lo hacen, porque todavía hay lagunas. Los inicios ya dejaban algo que desear: un informe de KPMG situaba en un 46% las organizaciones suficientemente preparadas para el cambio normativo a apenas un mes de que se formalizase. La investigación estaba basada en entrevistas y encuestas a cerca de 500 asesores legales de diez países, entre ellos España, donde el porcentaje era algo más elevado, un 53%.
Cabría esperar que, ya con el reglamento en vigor, estas cifras se consolidarían. Sin embargo, los estudios que se han ido publicando muestran un proceso irregular. Un informe de la firma Talend, realizado entre los meses posteriores a la aplicación del GDPR, apuntaba a que, de los 103 negocios analizados, siete de cada diez no habían sido capaces de responder a las peticiones de individuos para hacerse con una copia de sus datos personales, uno de los requisitos de la normativa. En nuestro país, a septiembre de 2018 aún quedaban aspectos por definir. Por ejemplo, según señala la Agencia Española de Protección de Datos, la AEPD, en su Informe sobre políticas de privacidad en internet. Adaptación al RGPD de AEPD, un tercio de las empresas analizadas no contaba con un Delegado de Protección de Datos, una de las nuevas figuras que instaura la normativa. Como matiz, son las empresas de menor tamaño las que carecen por lo general del DPD, lo que resulta menos preocupante ya que no siempre están obligadas.
Sin embargo, aún no se ha llegado a la plena adaptación y no parece que vaya a producirse en el corto plazo. El bufete de abogados internacional McDermott Will & Emery cifraba en un 53% las compañías que cumplían con la normativa en abril de 2018 y, casi un año después, los datos permanecen estancados. Según Mark Schreiber, abogado especialista en privacidad de la firma, “el 50% de las compañías cubiertas están todavía en el proceso de cumplimiento del GDPR, y seguramente seguirán así por algunos años”. Las firmas especializadas en servicios de TI, como Dell EMC, tienen aún un amplio trabajo a la hora de ayudar a otras organizaciones a blindarse ante la nueva normativa y otras derivadas, ya que…
…Otras leyes han venido a complementar el GDPR (y con polémica)
En España, en el pasado mes de noviembre se aprobaba el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Esta directiva nace para completar los aspectos de la normativa europea que deben regirse desde cada Estado miembro, pero desde la Administración española se ha aprovechado para incluir estos derechos asociados al mundo online, como la regulación de la tecnología en relación al trabajo, explican desde la firma legal Garrigues. Tiene un punto especialmente controvertido: el uso de datos personales por los partidos políticos. Los especialistas en leyes Cyrus Borhani y Justin Banda escribían para la Asociación Internacional de Profesionales de la Privacidad que “esta gran excepción puede tener implicaciones de largo alcance en el derecho constitucional en España de la protección de datos, así como para la Unión Europea como conjunto”. Lo que los expertos temen es que la legislación “permita construir perfiles políticos en la línea de malas prácticas de protección de datos” al estilo del caso Cambridge Analytica. “La Agencia Española de Protección de Datos ha intentado disipar la preocupación indicando que seguirán estrictamente el artículo 56 del GDPR; sin embargo, todavía no se le ha visto aplicación”. Habrá que esperar a los análisis postelectorales, tras el 28A, para profundizar en este tema.
