Europa aguarda la primera multa para entender el GDPR

El pasado 25 de mayo, Europa se despertaba con una ambiciosa norma sobre privacidad en vigor. El famoso GDPR (Reglamento General de Protección de Datos) incluía conceptos tan novedosos para la salvaguarda de los usuarios como la necesidad de contar con consentimiento explícito para cualquier uso de información personal, la notificación obligatoria por parte de las empresas de cualquier infracción o filtración de esos datos y la incorporación de la privacidad por diseño en cualquier aplicación o solución que se utilice. Unan a ello el derecho al olvido y tenemos ante nosotros la regulación más exigente del mundo en estas lides.

Ahora, cuatro meses después, llega el momento de hacer balance de su aplicación. Y los primeros feedbacks que llegan desde la industria -algunos públicos, otros prefieren guardar anonimato- es que esta prometedora ley está enfrentándose a muchos de los problemas de base que se conocían desde 2016, cuando comenzó a hablarse de ella. Por lo pronto, la capacidad de las compañías para adaptarse a esta regulación fue cuestionada en todo momento (un mes antes de su entrada en vigor, un estudio de KPMG alertaba de que más de un 54% de la empresa no estaba preparada al respecto), mientras que las imprecisiones y dudas sobre la responsabilidad de las actuaciones en esta materia siguen muy presentes en el sector.

Muchas son las preguntas que sigue suscitando el GDPR en los mentideros de este pequeño patio de recreo que llamamos economía digital, y no son menos aquellos que están a la expectativa de ver los primeros movimientos en firme para tomar decisiones más enérgicas en su aplicación. En INNOVADORES hemos tomado el pulso a esta realidad con la visión de directivos internacionales, académicos, Roberto Viola (máximo responsable de la Agenda Digital para la Comisión Europea) y el analista de Penteo Alejandro Arias.

A la espera de la multa

Desde la entrada en funcionamiento del GDPR, en España se han registrado 259 resoluciones por incumplimiento del derecho de rectificación y cancelación, otras 161 por falta de consentimiento explícito y otras 94 por infracciones relativas al acceso a los datos recogidos. Esas son las cifras de la Agencia Española de Protección de Datos, pero si ampliamos las miras hacia Europa nos encontramos con que las autoridades comunitarias tienen ya en su mano más de 200 quejas transfronterizas. Además, en uno de los países más activos en este campo, Francia, se han registrado nada menos que 600 notificaciones de violaciones de datos desde mayo, que han afectado a 15 millones de personas en total. 

Casi todas las grandes compañías del sector digital -Google, Facebook, LinkedIn, Amazon, Apple...- han sido ya denunciadas por infringir el GDPR, bien en algún país europeo o en varios de ellos. Incluso muchas de esas denuncias fueron registradas el mismo día 25 de mayo, justo tras la entrada en vigor de la norma. Y, sobre todas ellas, está ahora la espada de Damocles de una posible sanción que puede alcanzar los 20 millones de euros o el 4% de los ingresos mundiales, lo que mayor sea.

Pero, y aunque suene sorprendente, muchas de estas empresas están ansiosas de que se produzcan  las primeras resoluciones judiciales, no tanto porque quieran sufrir las consecuencias económicas de las mismas, sino por entender un reglamento vago e impreciso. "Estamos esperando a los primeros litigios para adaptarnos realmente a lo que diga la justicia", admite un directivo de una multinacional norteamericana que pide no ser identificado.

"Las empresas están expectantes a ver si a alguien le cae la multa para empezar a tomar cartas en el asunto. Tampoco se sabe si las autoridades serán severas con los primeros afectados, porque el GDPR también contempla advertencias, con lo que algunas lo que están buscando es evitar males mayores al ser sancionadas en este período inicial", añade Alejandro Arias. "Antes de que acabe 2018 ya veremos alguna sanción importante, lo que no sabemos es si será a una empresa europea o extranjera", anticipa.

Incertidumbres

¿Qué buscan entender en estos litigios las grandes corporaciones? Ni más ni menos que echar luz sobre los cinco principales agujeros en el desarrollo legal del GDPR. El primero tiene que ver con las dudas sobre la aplicación misma del Reglamento General de Protección de Datos. "Hoy por hoy, no se concibe que haya un sistema robusto y transparente en torno a la gestión de la protección de datos. Los gobiernos deberían hacer público, por ejemplo, cuántas peticiones de datos se realizan y cuál es el proceso verificado que hay detrás de ellas", comenta otro ejecutivo en los pasillos del Dublin Data Summit. "La verdad es que no hacía falta un lote nuevo de leyes, sino aplicar las que ya había al mundo digital. Muchos de los puntos del GDPR ya estaban incluidos en leyes del 95 y el 98", critica a su vez el profesor Christopher Millard, de la Queen Mary University of London.

El segundo hace alusión a la atomización que, pese a ser una regulación europea, subyace al GDPR. "En realidad tenemos hasta 53 regulaciones distintas en torno a la protección de datos en Europa", señala otro directivo norteamericano, listando algunas de esas leyes. "También existe una falta de confianza en las políticas o juzgados de datos de otro país europeo, así como un problema a la hora de notificar un incidente: no sabemos si debemos hacerlo en el país donde el dato está localizado o donde está el ciudadano".

El tercero nos lleva al uso relativo de los ciudadanos de sus nuevas posibilidades de privacidad. "Nuestra empresa ha extendido las políticas del GDPR a todo el mundo. Y tenemos más usuarios haciendo uso de estos recursos en Estados Unidos, Brasil, China o Japón que en Europa, donde solo los franceses, alemanes y británicos se muestran algo activos", comenta uno de estos altos cargos. "El usuario europeo cree que está protegido con esta norma, pero desconoce los derechos concretos y muestra una cierta pereza por ejercerlos", matiza el analista de Penteo. Siguiendo con la lista, nos detenemos en torno a uno de los emblemas de la estrategia europea en esta arena: el derecho al olvido. "Es un principio muy bonito, pero que no se puede aplicar a escala global porque entra en conflicto, en muchos países, con el derecho a la información. Así que es un olvido relativo", se oye decir a otro directivo con responsabilidad internacional en esta área.

Y, por último pero no menos importante, llegamos al impacto del GDPR sobre la innovación. "Esta norma puede ser un freno importante para el desarrollo de la innovación, especialmente entre las pymes", señala Millard. "Muchas pymes no se la van a jugar porque no tienen recursos para pagar las multas en caso de incurrir en algún supuesto de la norma", coincide Alejandro Arias.

La llegada de ePrivacy

Pero todo lo anterior podría quedarse en agua de borrajas en cuanto se apruebe un nuevo reglamento, el de ePrivacy. "La propuesta parte de un punto básico, que es que un tercero no pueda leer tus comunicaciones", trata de justificar Roberto Viola. "¿Acaso es normal que alguien lea tus emails antes que tú o que sepa dónde estás sin que se lo digas? Queremos dar la opción de que la gente decida qué datos quiere ceder y a cambio de qué servicios".

Hasta aquí todo bien, pero esta norma, teóricamente diseñada para proteger la confidencialidad en las comunicaciones digitales, parece que va tomando tal forma que podría solapar -y contradecir- muchos aspectos del propio GDPR. "Se van a incorporar novedades sobre el uso de cookies y del consentimiento explícito que podrían entrar en conflicto con lo ya establecido en el GDPR. Eso, además de volver a definirlo todo, obligará a nuevas inversiones de la industria para cumplir con la ley", explica una directiva. "Hay mucha expectación por ver cuál de las dos normas va a valer y qué criterios se impondrán", reconoce Alejandro Arias. "Es una cosa de locos, pero hay demasiados intereses en juego para aprobar el ePrivacy. La Comisión quiere tachar ese tema en su lista de pendientes, así que tiran para delante aunque sea sin el consenso de la industria", critica en privado otra voz autorizada del sector.

"Básicamente están cogiendo una regulación que debería aplicarse a las teleco y expandiéndola a las OTT, cuando son mundos completamente distintos", sintetiza un directivo. Lo irónico es que ni a los propios operadores les convence la propuesta: Telefónica alertaba en un informe público de que ePrivacy era "excesivamente restrictiva" y pone en riesgo su "capacidad de conseguir más innovación, mayores beneficios sociales y crecimiento económico". Hasta tal punto es el descontento con la llegada de ePrivacy que la teleco pide que se abandone el proyecto en favor de "una mayor flexibilidad en el uso responsable de los datos". Con una disonancia enorme de base: mientras que la UE critica la falta de protección al consumidor digital europeo, el operador español considera que su consentimiento de está "sobrevalorado" en la actualidad.