Reglamento europeo de protección de datos: un año después
Reglamento europeo de protección de datos: un año después
La aplicación del Reglamento General europeo de Protección de Datos (GDPR, por sus siglas en inglés) ha cumplido más de un año desde su aplicación. Ana I. Segovia, manager del Área de Regulación y Control Interno de BBVA, reflexiona sobre la normativa y hace balance de lo que ha supuesto en este periodo.
El pasado mes de mayo se cumplió un año de la aplicación del Reglamento General europeo de Protección de Datos (GDPR, por sus siglas en inglés). Con este motivo, instituciones y empresas están haciendo balance de lo que ha supuesto esta nueva regulación en Europa y más allá de sus fronteras.
En primer lugar, se ha producido un claro avance en la concienciación y sensibilización de los ciudadanos sobre el derecho a la protección de sus datos. Así lo evidencia el Eurobarómetro de marzo de 2019, que muestra que el 67% de los usuarios encuestados afirman haber oído hablar de GDPR y, el 36% indicaron que son conscientes de lo que implica. Además, el 57% aseguraron conocer la existencia de una autoridad en su país encargada de proteger los derechos sobre sus datos personales, lo que supone un aumento de 20 puntos porcentuales en comparación con los resultados del Eurobarómetro de 2015.
Las instituciones de supervisión también están analizando el impacto, y el Comité Europeo de Protección de datos, institución colegiada compuesta por las entidades supervisoras de todos los países, ha declarado que han aumentado las consultas y reclamaciones recibidas por todas las autoridades: en el último año se han recibido más de 144.000 consultas y reclamaciones y se han notificado más de 89.000 brechas de seguridad. La falta de transparencia y de consentimiento válido son las causas más habituales de reclamación. Estos precisamente han sido los motivos de la multa más importante por infracción del Reglamento hasta la fecha (50 millones de Eur.), impuesta a Google por la autoridad francesa (CNIL). Sin embargo, hay que mencionar que las multas elevadas han sido poco frecuentes hasta ahora.
Por otro lado, para las empresas, el Reglamento ha supuesto un esfuerzo económico y de medios para su adaptación y un cambio en la forma de manejar los datos de sus clientes. Las entidades han tenido que transformar sus procesos y revisar sus políticas de retención y archivo de datos para poder cumplir con la normativa. En este sentido, se ha producido un gran avance en la gobernanza de los datos y la toma de decisiones estratégicas sobre su uso. Esto les ha permitido profundizar en su relación de confianza con los clientes, donde la experiencia del usuario en torno a la privacidad puede constituir una ventaja competitiva.
Retos
A pesar del balance positivo, todavía queda camino que recorrer. Para el usuario, en una economía digital en la que el valor económico del dato es una pieza clave, se hace necesario que sea capaz de extraer valor de sus datos, con mecanismos de portabilidad (un nuevo derecho reconocido en el Reglamento) sencillos y en tiempo real que permitan su control y, en su caso, el uso por terceros con su consentimiento. Por eso, es crucial que los reguladores desarrollen conceptos presentes en el reglamento, pero que resultan insuficientes en el nuevo entorno. Asimismo, con la aparición de nuevas tecnologías como blockchain, con las que es complicado poner en práctica el derecho al olvido, o la inteligencia artificial, cuya aplicación resulta difícil de conciliar con el principio de minimización de datos, se hacen necesarios nuevos desarrollos normativos en los que las empresas puedan apoyarse para poder trabajar con seguridad jurídica.