
Hace unas semanas, el Reglamento General de Protección de Datos –RGPD para abreviar– cumplió cinco años. ¿Un motivo para celebrar? Unos lo llaman así, otros así. El RGPD definitivamente ha logrado una cosa: el tema de la protección de datos nos ha llegado a todos más que nunca. Pero: ¿El RGPD ha cumplido sus grandes promesas, por ejemplo, poner pulpos de datos como Facebook o Google en su lugar? Echamos un vistazo más de cerca a lo que va bien hasta ahora y lo que aún debe cambiar.
“El RGPD protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos personales”, dice el abogado y experto en protección de datos Christof Kolyvas de Bochum, resumiendo el enfoque del reglamento. Lo que suena aburrido en términos legales significa, traducido al lenguaje cotidiano: el RGPD quiere proteger a las personas y sus derechos, no a los datos. ¿Ella?
Banners de cookies molestos sin nacimiento de GDPR
En todo caso. Algunas cosas han mejorado en términos de protección de datos personales y, en general, en términos de seguridad informática. Incluso si el RGPD nos ha dado una orgía interminable de clics en forma de banners de cookies como un “subproducto”. Los banners de cookies no tienen nada que ver directamente con la introducción del RGPD. Son el resultado de un descuido. Porque paralelamente al RGPD, también se debería reformar la llamada directiva de privacidad electrónica o “directiva de cookies”. Esta reforma es responsabilidad de cada Estado miembro de la UE. Alemania aún no ha sido capaz de encontrar una solución uniforme. ¿Por qué? La resolución seguirá más adelante.
¿Qué distingue a la Directiva de privacidad electrónica del RGPD? La política es básicamente la promesa digital de las empresas de mantener la confidencialidad de los datos personales. El RGPD, por otro lado, se ocupa del procesamiento de datos en sí. Por ejemplo, no se permite la divulgación a países fuera de la UE.
¿Y por qué los molestos banners de cookies también son “problemáticos” desde el punto de vista del RGPD? Los usuarios de Internet a menudo dan su consentimiento a algo que nunca consentirían en una inspección más cercana. Sin embargo, algunas de las empresas diseñaron deliberadamente el proceso de consentimiento a su favor.
Un rechazo a menudo es confuso, complicado o aún no está planeado en absoluto. Es por ello que los banners de cookies no solo son una molestia, sino que también conducen a una pérdida total de control sobre el procesamiento de datos personales debido a su diseño. Esto no es en el sentido del RGPD.
Lea también: Simplemente explicado: ¿Qué significa el nuevo RGPD?
Las multas son efectivas
El Abogado austriaco y activista de protección de datos Max Schrems ha estado luchando contra Facebook durante años. Hace unos años, pidió información sobre qué datos personales tenía almacenados Facebook sobre él en su propia plataforma. El RGPD también está moldeado por su batalla de años contra la compañía de Mark Zuckerberg. Facebook, Twitter y Co. ahora tienen una función sencilla para consultar los datos personales almacenados por la empresa. Si lo desea, las empresas deben incluso eliminar “todos” los datos.
“La imposición de multas, la jurisprudencia del Tribunal de Justicia de la Unión Europea sobre el RGPD y los tribunales nacionales hacen visible la eficacia de la normativa uniforme de la UE”, destaca el experto en protección de datos Christof Kolyvas. De hecho: Recientemente, la autoridad de protección de datos responsable de Facebook en Irlanda impuso una multa récord de 1200 millones de euros. Facebook reemplaza así a Amazon como “poseedor del récord”. El anterior líder sancionador lo ha llevado a una multa de 746 millones de euros.
DSGVO también un problema con las autoridades
Las autoridades de Irlanda parecen estar haciendo un buen trabajo. Sin embargo, esto sólo es cierto hasta cierto punto. Porque las grandes corporaciones como Facebook, Microsoft, Google o TikTok no eligieron Irlanda como su sede europea debido a los exuberantes prados verdes. Además de las bajas tasas impositivas, la isla atrae con una interpretación extremadamente laxa del RGPD. Además, el regulador irlandés de protección de datos sufre una escasez crónica de personal. Por lo tanto, la autoridad podría trabajar mucho más eficazmente. Las multas que acaparan los titulares sirven así para fumar velas.
Un problema oficial similar se aplica a Alemania, pero en la dirección opuesta. Alemania se trata de un oficial federal de protección de datos en la persona de Ulrich Kelber. Sin embargo, tiene bastante que ver con hacer que la comunicación con las autoridades de 17 estados sea razonablemente tolerable y conveniente. Porque el tema de la protección de datos está regulado federalmente en Alemania. En consecuencia, cada estado federal individual tiene su propia autoridad de protección de datos, Bavaria incluso se permite dos. Eso hace que una línea alemana uniforme en términos de GDPR sea al menos difícil.
Sin embargo, el experto en protección de datos Christof Kolyvas ve a Alemania en el camino correcto en lo que respecta a la protección de datos. “Para las pequeñas y medianas empresas, la implementación del RGPD significa inicialmente un mayor esfuerzo. Sin embargo, las empresas que tienen en cuenta la protección de datos en una etapa temprana ahorran costos posteriores debido a decisiones equivocadas o disputas legales”.
Al abogado de Bochum le gustaría ver simplificaciones para el futuro, especialmente para los autónomos más pequeños y solitarios. Incluso después de cinco años, todavía hay mucha ignorancia e incertidumbre sobre el RGPD.
Lea también: Estas son las implicaciones más absurdas del RGPD
Consecuencias positivas y negativas del RGPD
El RGPD no solo trajo cosas positivas a las personas, como la posibilidad de ver, cambiar o eliminar datos almacenados u oponerse a su difusión. El hecho de que las empresas tengan que asegurar el uso de los datos también ha aumentado la carga administrativa. Porque cada vez que una empresa quiere procesar datos personales, necesita una base legal como reserva de permiso. Lo obtienen en forma de formularios especiales, tanto en línea como analógicos. Muchos pueden saber esto de las prácticas médicas. Desde la introducción del RGPD en mayo de 2018, los nuevos pacientes han tenido que rellenar una ficha con la que dan su consentimiento para el tratamiento de sus datos. Esto es necesario para poder intercambiar diagnósticos entre médicos y clínicas. Sin embargo, con estos formularios, los usuarios deben prestar atención al tipo y alcance del uso y procesamiento de datos que aceptan. Se debe tener cuidado con formulaciones como “interés legítimo” y más bien consultar a un experto.
Por cierto, el “interés legítimo” también se encuentra a menudo en las consultas de cookies. Queda siempre la cuestión de qué puede entenderse por interés legítimo. Los usuarios deben asegurarse de que realmente prevalece el interés legítimo del responsable.
GDPR en el camino hacia un estándar global?
Incluso si la implementación inicialmente causó revuelo, el RGPD ahora también sirve como modelo en otras regiones del mundo. Uno de los mayores temores de los críticos no se ha hecho realidad: las empresas estadounidenses no han dado la espalda a Europa por culpa del RGPD.
En consecuencia, el reglamento podría convertirse en un modelo para otros países fuera de la UE. Por cierto, eso también beneficiaría a las empresas activas a nivel mundial. Porque no tienen interés en innumerables “estándares” porque las diferentes regulaciones provocan mayores costos para el cumplimiento.
Lanzado como un gigantesco proyecto europeo de protección de datos, el RGPD ha movido muchas cosas en la dirección correcta en los últimos cinco años. Por supuesto, tal ley no puede cubrir de inmediato cada pequeño pero importante detalle. Además, cinco años en el campo de TI que cambia rápidamente significa mucho tiempo. Ciertos desarrollos no eran del todo alarmantes en ese momento.
Entender el RGPD como una estrategia en constante cambio
“El RGPD debe verse como parte de la estrategia de datos de la UE. Para incluirlos en una futura estrategia de datos de la UE, serán necesarios ajustes regulares”, aclara el experto en protección de datos Christof Kolyvas. Desde la implementación real del RGPD en 2018, el abogado de Bochum ha registrado un aumento en el número de consultas de las empresas. La práctica anterior ha demostrado que el RGPD ha mejorado la protección de datos europea y la ha hecho más uniforme.
Sin embargo, todavía hay muchas áreas grises. Algunas empresas aprovechan esto para interpretar y adaptar las disposiciones del RGPD según sus propias necesidades. Palabra clave: “Lavado de privacidad”. El término va en una dirección similar a “greenwashing”, que es bien conocido en los negocios.
Con el “lavado de privacidad”, las empresas actúan de acuerdo con lo dispuesto en el RGPD. Pero gracias a las áreas grises y los sofismas legales, todavía usan datos personales inicialmente para sus propios fines económicos. La protección de las personas viene en segundo lugar.
AI requiere ajustes de GDPR
En este contexto, el tema de la inteligencia artificial (IA) ahora está jugando un papel dominante. Porque el RGPD también entró en juego para frenar la llamada elaboración de perfiles y el poder de los algoritmos en las redes sociales. Los expertos en protección de datos ven una necesidad urgente de ponerse al día aquí. Porque AI ha empeorado aún más toda la situación. AI hace que sea aún más fácil para Facebook o Google crear ciertos “perfiles de movimiento” de personas basados solo en pequeños rastros de datos.
Es por eso que cada vez hay más llamados para afinar el RGPD, especialmente cuando se trata del uso de IA. Las pautas anteriores para crear perfiles de datos datan de 2018 y, por lo tanto, ya no reflejan los desarrollos actuales en el campo de la IA. El problema ha sido una espina en el costado de la UE durante mucho tiempo. Por lo tanto, desde mayo de 2022, como parte del llamado Esfuerzos de la Ley de Inteligencia Artificial para limitar claramente los excesos de la IA. La nueva directriz de IA debería aplicarse en paralelo con el RGPD. Tal vez esto realmente logre establecer el RGPD como el “estándar de oro” en términos de protección de datos.



