Ya ha pasado un mes desde que se aprobó la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD), y ocho meses desde que es aplicable el Reglamento General de Protección de Datos (RGPD), y desde que, con ello, se generó la alarma en el ámbito empresarial y social por los importantes cambios y nuevas obligaciones que introducían. En su momento, algunas compañías apenas cumplían con los requisitos legales de la antigua normativa, y parte de la ciudadanía no comprendía la relevancia y el revuelo que se había causado alrededor de los datos personales. Ahora, meses después, quizá sea el momento de empezar a plantearnos ciertas cuestiones: ¿qué ha implicado realmente esta nueva regulación comunitaria?, ¿han hecho un esfuerzo las empresas por aplicar la protección de datos en sus organizaciones?, ¿son los ciudadanos más conscientes de la importancia de su información personal?
Está claro que el mes de mayo terminó con una avalancha de correos electrónicos en nuestras bandejas de entrada “cumplimos GDPR, cumplimos GDPR, cumplimos GDPR…” y dio pie a la aparición de numerosas compañías que ofrecen a las empresas servicios de adaptación a la normativa de protección de datos a coste cero. Sin embargo, meses después descubrimos que, estos servicios, en combinación con las empresas que no han querido –o no han podido– emplear los recursos necesarios para adaptar la protección de datos de su organización a la nueva normativa, han desembocado en una proliferación de adecuaciones de carácter superficial que se centran en dar apariencia de cumplimiento. Extensas políticas de privacidad, correos electrónicos con terminología muy técnica o grandes carteles informativos para mostrar al usuario que, a primera vista, la empresa está al día, si bien, en muchas ocasiones solo es necesario mirar detenidamente para comprobar que no se cumple con la normativa. Quizá en este momento, quepa preguntarnos ¿son las propias empresas las que no tienen intención de regularizar los tratamientos de datos personales que llevan a cabo?, ¿o es que, por el contrario, no disponen de recursos para realizar la profunda adecuación que en muchos casos se requiere?
Hay escenarios en los que, además, el cumplimiento no solo depende del compromiso y de los recursos que decidan emplear las empresas: hay situaciones en las que adaptarse a la normativa conlleva la transformación del funcionamiento del propio negocio. Así ocurre con aquellas empresas cuyos pilares de funcionamiento giran en torno al lucro basado en la información extraída de los datos de los usuarios. En estos casos, el modelo de negocio puede resultar insostenible si se cumple con rigor la normativa de protección de datos. Esta razón ha causado que, en vez de redefinirse, algunas empresas extranjeras hayan preferido distanciarse del mercado europeo para evitar entrar en el ámbito de aplicación del RGPD, llegando incluso a utilizar mecanismos para bloquear el tráfico de datos proveniente de Europa para no operar con datos personales de residentes europeos, ya que las implicaciones que conlleva la adaptación no les compensan económicamente.
Si fijamos la mirada a la protección de los interesados, pilar nuclear de esta nueva normativa, aún nos surge la duda de si realmente se está consiguiendo que los usuarios sean conscientes del uso que hacen las empresas de sus datos personales. Tras el periodo de agitación inicial, la mayoría de los usuarios ya se ha acostumbrado a lidiar en su vida cotidiana con una mayor cantidad de textos informativos y solicitudes de consentimiento de por medio. El problema es que “lidiar”, en muchas ocasiones significa “ignorar”, puesto que al final priman el acceso a los servicios que quieren recibir, y por tanto, los mecanismos de información no implican necesariamente que sean eficientes, que realmente permitan a los usuarios tener mayor control sobre el uso de los datos, o que exista una mayor concienciación sobre la trascendencia que supone tener el control de su privacidad. Es cierto, sin embargo, que las estrategias de privacidad por defecto y desde el diseño, bien aplicadas y aplicando unas políticas efectivas de información, está sembrando sus frutos en muchos negocios incipientes, permitiéndoles nacer amparados ya en el cumplimiento y asegurando, independientemente del usuario, cierto nivel de protección y la puesta a su disposición de mecanismos para poder ejercer control sobre su privacidad si así lo desea.
En definitiva, a pesar de que el RGPD proporcionó un periodo de adaptación de dos años, la realidad es que las empresas llegan tarde a la adaptación y aún es pronto para sacar conclusiones sobre la eficacia o no de las medidas propuestas. Por el momento, la consecución de los objetivos de esta nueva regulación está suponiendo un reto para las empresas, que deben asumir nuevas responsabilidades e integrar la normativa también en su modelo de negocio, muchas veces bajo un coste de adecuación elevado, puesto que la normativa no pide un cambio “operacional”, sino una transformación de la mentalidad de toda la empresa; y aunque las sanciones previstas resulten lo suficientemente disuasorias como para intentarlo, está claro que, al menos en España, construir una cultura de cumplimiento es todo un reto para algunos sectores, así como perseguir el intrusismo y las prácticas fraudulentas en este ámbito.
Tenemos que tener también en cuenta que esta normativa está intrínsecamente relacionada con otras regulaciones paralelas y en pleno desarrollo, como el esperado Reglamento e-Privacy, pendiente de aprobación, que será directamente aplicable a todos los Estados Miembros de la Unión Europea y que afectará a todos los datos de comunicaciones electrónicas, sean de carácter personal o no.
Por ello, hay que seguir trabajando para concienciar a las empresas de la necesidad de implementar los mecanismos necesarios para, no solo conseguir adecuarse a la nueva regulación, sino hacerlo de forma que la misma se convierta en un activo más para la propia empresa. Y es que no hay que volverse locos, al final es continuar haciendo lo que se hace, pero de forma transparente, y desde el principio de los proyectos, usando la privacidad en tu beneficio; porque todos sabemos que prevenir es mejor que curar, y en protección de datos… ligeramente más barato. Y si no, que le pregunten a Google.
