El pasado 25 de mayo de 2018 entró en vigor la que quizás se haya convertido en la más célebre de las regulaciones que afectan al sector digital. Hablamos del GDPR, el Reglamento General de Protección de Datos, una normativa comunitaria destinada a favorecer la privacidad y restringir el uso indiscriminado de datos personales por parte de las compañías en el Viejo Continente. Conceptos como el consentimiento expreso o las notificaciones rápidas en caso de un incidente que afecte a esta clase de información pasaron, de la noche a la mañana, del ostracismo a la primera hoja de las agendas de los consejos de administración. 

Y no es para menos: la amenaza de sanciones de hasta 20 millones de euros o el 4% de la facturación global es suficiente para que las empresas se replanteen sus flujos de información y la manera en que vienen gestionando su big data para hacer negocio.

O eso al menos pensaron los legisladores europeos, pioneros en estas lides con una norma tan ambiciosa. La realidad, un año más tarde, dista mucho de ese escenario idílico en que los ciudadanos recuperábamos el control de nuestra información y la autorresponsabilidad se imponía en el tejido empresarial. Por lo pronto, diversas encuestas reconocían que más de la mitad del tejido productivo en Europa no estaba adaptado al GDPR en los días previos a su entrada en vigor. En la misma línea, expertos de los grandes players del sector a los que INNOVADORES accedió en septiembre admitían que estaban a la espera de que se dieran las primeras grandes sanciones para poder entender algunos de los aspectos menos claros de este reglamento. Y, por si fuera poco, otros muchos expertos alertaron de que el GDPR podría traer consigo nuevas formas de ciberataques, basados en obtener rédito bursátil de las notificaciones obligatorias en caso de ciberincidente. 

"La interpretación y aplicación del GDPR es un reto mayúsculo. Su extensión, la innovación terminológico-conceptual y el cambio de modelo europeo en la protección de datos abren un nuevo escenario de dificultades de aplicación que los juristas tenemos que solucionar", explica Moisés Barrio, abogado especializado en derecho digital y de las TIC, letrado del Consejo de Estado y miembro del grupo de expertos sobre Ciberpolítica del Real Instituto Elcano. "Lamentablemente todavía queda bastante por hacer. Además, el nuevo enfoque proactivo sobre el que se construye el cumplimiento de las obligaciones exige nuevos recursos, formación y aumenta la demanda de expertos en la materia".

José Alberto Rodríguez, DPO global en Cornerstone, coincide en este diagnóstico y explica que estos primeros 365 días del GDPR no han sido sino el anticipo de un cambio profundo que aún necesita tiempo para madurar. "Vamos a seguir profundizando en lo que significa el Reglamento, porque no detalla ni habla de situaciones o elementos concretos. Ya ha habido aclaraciones de las autoridades en algunos de esos puntos, pero se seguirá construyendo un consenso y poco a poco irá apareciendo un corpus de buenas prácticas en cada uno de los segmentos en lo que se aplica la norma, como marketing o recursos humanos", anticipa el experto.

Por lo pronto, las milmillonarias sanciones que sirvieron como acicate para que las empresas se pusieran las pilas en este terreno no han llegado todavía. En total, el Supervisor Europeo de Protección de Datos reconoce alrededor de 100.000 quejas por esta cuestión desde la entrada en vigor del GDPR. La Agencia Española de Protección de Datos recogía 259 resoluciones por incumplimiento del derecho de rectificación y cancelación, otras 161 por falta de consentimiento explícito y otras 94 por infracciones relativas al acceso a los datos en los primeros cinco meses de vida de la norma. Y en Francia se registraron nada menos que 600 notificaciones de violaciones de datos desde mayo, que han afectado a 15 millones de personas en total. Sin embargo, apenas se han producido unas pocas multas, ninguna de gran entidad, por hechos acontecidos tras el 25 de mayo.

"Estas tramitaciones pueden ser largas y requerir más de un año para concluirse. Por eso solo ha habido un par de sanciones relacionadas con el GDPR", entiende Rodríguez. "Además, se nos ha metido algo de miedo con el tema de las multas millonarias, pero eso solo se aplica en los casos más graves. Hay muchas otras etapas, que incluyen el análisis y la correción del incidente sin sanción alguna. Las multas son solo para situaciones en las que la empresa no ha corregido el problema o el hecho es extraordinariamente grave".

Sirva como anécdota, traída por Barrio, de que la única resolución en España conforme al GDPR ha tenido como objeto "apercibir, sin multa, a la Asociación de Madres y Padres (AMPA) de un centro docente por haber realizado fotografías a unos alumnos del centro, menores de edad e hijos del reclamante, con el fin de comercializar unos calendario". Un caso de lo más cotidiano, pero muy lejos de los grandes focos que todos esperábamos con un cambio regulatorio tan ambicioso como este.

Esta ausencia palpable de una sanción ejemplarizante no es el único hecho que ha lastrado el buen devenir del GDPR en su primer año de vida. A juicio de la mayoría de analistas, la falta de educación y de toma de conciencia en materia de privacidad -incluso pese a escándalos mediáticos como el de Facebook y Cambridge Analýtica- sigue dejando mucho que desear. Algunas empresas, como Microsoft, que han extendido los principios de la norma europea a todas las regiones en que operan se han llevado la inusitada sorpresa de que eran estas otras zonas geográficas las que hacían un mayor uso de su control sobre los datos personales. "En Europa ya está hecha la ley y, por eso, mucha gente da por supuesto que hay un nivel mínimo de seguridad y estamos más confiados, nos hacemos menos preguntas que en Estados Unidos o Asia", admite José Alberto Rodríguez. 

"Todavía falta seguir potenciando la educación digital en todos los niveles", coincide Moisés Barrio. "Y ser conscientes de que la protección de datos es un derecho fundamental que tiene el máximo rango constitucional, junto por ejemplo la libertad, la seguridad, la intimidad o la participación política. En este sentido, los nuevos derechos digitales que incorpora la ley son una muy buena noticia. La protección de datos tiene un carácter transversal que excede lo jurídico y se extiende a ámbitos aplicativos en los que formaciones humanísticas o tecnológicas adquieren plena vigencia".

Muchos son los campos de batalla que aún quedan por recorrer para que el GDPR cobre sentido completo y podamos estar, ahora sí, confiados de que la privacidad se ha convertido en un elemento imprescindible en la arena de trabajo del siglo XXI. Entre los muchos aspectos que todavía están en el candelero, Barrio -ponente habitual sobre el tema en diversos foros y eventos del sector, como el DES 2019- apela al "reconocimiento de un eventual derecho a la propiedad de los datos" y "quizás adoptar una configuración complementaria de la protección de datos como derecho fundamental basado en la confianza, más allá de la teórica libertad y autonomía del titular de los datos para hacer frente a los retos actuales que suscitan el big data, la analítica predictiva o la publicidad programática". 

Al mismo tiempo, Rodríguez espera que se vayan produciendo pequeños ajustes en la norma "de aquí a cinco años" en cuanto a sus aspectos principales, pero también que se hagan importantes extensiones del GDPR en aspectos tanto operativos como aquellos relacionados directamente con tecnologías en plena ebullición. "Por ejemplo, ahora mismo no existe una certificación oficial de cumplimiento con el GDPR que sea reconocida por el conjunto de la industria. Pero esto va a acabar apareciendo y seguramente será una certificación sectorial. También necesitamos un estándar para la utilización de datos personales en inteligencia artificial, porque la transparencia es muy difícil de demostrar en IA, no tanto porque sea complicado hacer un algoritmo que sea conforme a las normas de protección de datos, sino por la complejidad inherente a los propios algoritmos".

Otra piedra en el futuro inmediato del GDPR es la que tiene como protagonista al reglamento ePrivacy, impulsado por la Unión Europea y que verá la luz después de las elecciones comunitarias de la próxima semana. "En principio no entrará en vigor antes de 2021 y se trata de una ley especial respecto del GDPR", explica Barrio. «Se centra en la privacidad en los servicios de comunicaciones electrónicas y en los datos tratados por los servicios de comunicaciones electrónicas. Y se refiere a datos no personales, como los metadatos y los generados en el Internet de las Cosas. Pero como ambas normas europeas no se han tramitado en paralelo por las instituciones de la UE se van a plantear fricciones y conflictos». 

Esta nueva norma, teóricamente diseñada para proteger la confidencialidad en las comunicaciones digitales, parece que va tomando tal forma que podría solapar -y contradecir- muchos aspectos del propio GDPR, incorporando novedades sobre el uso de cookies y del consentimiento explícito que podrían entrar en conflicto con lo ya establecido en el GDPR. Además, existe un temor creciente a que las implicaciones que, en teoría deberían afectar únicamente a los operadores de telecomunicaciones, acaben por implicar a todos los agentes de la cadena de valor, con consecuencias difíciles de adivinar.