A la Unión Europea se le acusa en ocasiones de imponer demasiada legislación en muchas materias e, incluso, de llegar a ser un freno para las empresas de la economía digital.

El Reglamento General de Protección de Datos (RGPD, también conocido por sus siglas en inglés GDPR) también fue objeto de muchas críticas, ya que la tradicional visión garantista europeísta chocaba con la visión más liberal de los estadounidenses.

Tal y como recuerda Borja Adsuara, abogado, consultor y profesor universitario, experto en derecho digital, privacidad y protección de datos, este reglamento afecta a todas aquellas empresas que quieran hacer negocio en Europa. En su opinión, este es uno de sus impactos más importantes: "el respeto de los datos personales, sobre todo por las grandes plataformas digitales multinacionales, que hasta la entrada en vigor del mismo (2018) no se sujetaban a la legislación europea, ni a las autoridades de control europeas, ni a las multas europeas, ni a los tribunales europeos".

La directiva fue aprobada en 2016, pero los reguladores dieron dos años de plazo para que las empresas pudieran amoldarse a este nuevo marco legal antes de imponer sanciones. Cuando empezó a ser de obligado cumplimiento el 25 de mayo de 2018, el escándalo de Cambridge Analytica salpicaba de lleno a Facebook, cuyo CEO reconocía que el tratamiento de los datos de los usuarios no había sido todo lo éticamente aceptable.

Desde aquel 25 de mayo, todas las empresas debían estar sujetas a la "principal razón de que se dictara RGPD", según Adsuara: "quien quiera prestar servicios a ciudadanos europeos, debe sujetarse a las normas europeas, a las autoridades administrativas europeas de protección de datos, a las posibles multas europeas y también a los tribunales europeos". 

Desde entonces, no solo la Unión Europea ha seguido legislando en esta misma línea, sino que muchos otros países (incluso algunos estados de Estados Unidos) están emulando los pasos y la doctrina europea, emitiendo normas para proteger mejor los datos de sus ciudadanos.

Pero queda mucho por hacer. Según Gemma Galdón, fundadora y CEO de Eticas Consulting, el texto en sí es bueno, pero su implementación ha dejado ciertas carencias. "La falta de prescripción hacia el futuro ha llevado a un cierto inmovilismo", asegura. Además, en su opinión, el sector tecnológico en particular ha sido "muy reacio" a incorporar el marco legal en su gestión corporativa. "Lo bueno de las leyes es que se acaban cumpliendo", destaca, aunque sea porque "empiezan a intervenir los tribunales, que van creando doctrina y, en base a eso, las cosas van cambiando". 

Galdón cree que el GDPR abre muchas puertas ("GDPR busca que se puedan utilizar más los datos, pero de forma responsable"), especialmente a la colaboración entre departamentos que, quizá antes, no tenían tanta relación dentro de las empresas, como el personal técnico y los abogados. "Si quieres hacer cosas de alto riesgo tienes que documentarlo y explicar muy bien las decisiones que tomas. Tiene que haber una colaboración mucho más próxima entre quien hace la parte legal de esa documentación de esa toma de decisiones con datos y quien hace el desarrollo", explica.

Esta experta considera también que "estamos constantemente permitiendo que la industria tecnológica haga excepciones en cosas tan básicas como cumplir la ley", cuando en otros sectores no hay tanta falta de diligencia. "Si en el sector de los juguetes -pone como ejemplo – se determina que el plástico utilizado tiene que tener una serie de características, quien no lo cumple está fuera del mercado".

Eso sí, también reconoce que muchas veces pagan justos por pecadores y que no se reconoce, quizá como se debiera, a aquellas empresas (también tecnológicas) que sí que implementan la privacidad por diseño. Y, a pesar de que insiste en que la parte positiva es que los ciudadanos son (somos) cada vez más conscientes de la importancia de la privacidad y la reclamamos, "mi valoración de estos cuatro años es negativa porque, aunque haya avances, sobre todo en el último año, seguimos estando en un escenario de desprotección muy importante de los usuarios". 

Y, sobre todo, advierte: Europa ha podido liderar la normativa, pero está perdiendo la oportunidad de encabezar el mercado y el negocio que hay tras esta legislación. "La Protección de Datos una oportunidad para hacer las cosas mejor y para entrar en sectores de mercado donde hasta ahora los datos no han tomado un papel tan relevante. Me sorprende que haya tan pocos actores en la oportunidad que ese espacio abre. Necesitamos cinturones de seguridad de la inteligencia artificial y  empresas que crean que invertir en responsabilidad también es bueno para el negocio".