Así es como 5 años de RGPD han cambiado el panorama de la privacidad: ¿sigue siendo útil?

La introducción del RGPD (Reglamento General de Protección de Datos) el 25 de mayo de 2018 marcó el comienzo de una nueva era en la legislación de privacidad y protección de datos, abriendo la puerta a un panorama regulatorio global en crecimiento.

Este se aplicó a todas las empresas que operan en la Unión Europea, así como a las empresas que están fuera pero que procesan datos de ciudadanos de la UE. El objetivo con el que nació es el de proteger los derechos y libertades fundamentales de las personas en lo que respecta al procesamiento de sus datos personales. 

"El RGPD establece requisitos claros y estrictos para la recopilación, almacenamiento, procesamiento y transferencia de datos personales, y también otorga a los individuos el derecho a conocer y controlar el uso de sus datos personales", explica Félix Llorente García, SAP project manager en Integra Estrategia y Tecnología.

Los nuevos y grandes retos en ciberseguridad, según expertos: inteligencia artificial, 'ransomware' y 'hacktivismo'

Entre las mejoras que supuso la introducción del RGPD se encuentran:

1. Mayor transparencia y control para los usuarios: el RGPD establece que las empresas deben proporcionar información clara y comprensible sobre cómo se recopilan, usan y protegen los datos personales de los usuarios. También otorga a estos últimos el derecho de solicitar que se eliminen sus datos personales y de recibir una copia de los mismos.
2. Obligaciones más estrictas para las empresas: existen requisitos estrictos para las empresas que procesan datos personales, incluyendo la necesidad de obtener el consentimiento explícito de los usuarios antes de recopilar y procesar sus datos personales, y de notificar a las autoridades y a los usuarios en caso de una violación de seguridad.
3. Sanciones más fuertes: sanciones para las empresas que incumplen la ley, incluyendo multas de hasta el 4% del volumen de negocio mundial anual.

"Muchos países y regiones ya han implementado leyes similares al RGPD, como la Ley de Privacidad del Consumidor de California en los Estados Unidos, y se espera que esta tendencia continúe a medida que las empresas y los gobiernos de todo el mundo se den cuenta de la importancia de proteger los datos personales de los usuarios", añade Félix Llorente.

¿Qué se ha aprendido en los últimos 5 años y qué hay en el horizonte? Se aproximan más leyes

La mayoría de las organizaciones han sido capaces de pecar de precavidos para evitarse las consecuencias antes mencionadas: multas de hasta el 4% de la facturación anual mundial, daño a la reputación y pérdida de ingresos. Sin embargo, las grandes tecnológicas se han llevado la peor parte.

En Europa se han repartido un total de más de 1.000.000.000€ en multas desde que el RGPD se convirtió en un requisito —este pasado 2022, la UE sancionó a las empresas europeas con multas que acumulan un total de 2.920 millones de euros por incumplir RGPD, según Atlas VPN—. La cifra marca un aumento del 168% respecto a 2021.

"Este aumento demuestra la creciente confianza y voluntad de las autoridades supervisoras de imponer multas elevadas por infracciones del RGPD, particularmente contra los grandes proveedores de tecnología", señala el informe.

Tal y como explica Business Insider, la mayoría de las grandes tecnológicas mantienen su sede en Irlanda gracias a su ventajoso sistema fiscal, lo que ha hecho que la Comisión de Protección de Datos de ese país se enfrente a un sinfín de casos que ha acabado generando un cuello de botella.

Las 4 mayores multas en los últimos años en Europa han sido:

1. En 2021, Amazon recibió una fuerte multa de 746 millones de euros por vulnerar el derecho a la privacidad de sus clientes.
2. Instagram fue multado en 2022 con un total de 406 millones de euros por su gestión de los datos de menores
3. Meta pagó en 2022 un total de 390 millones de euros por forzar a los usuarios a aceptar anuncios personalizados
4. Irlanda también atacó duramente a WhatsApp con una enorme multa de 225 millones de euros en 2021, ya que la app de mensajería no había explicado adecuadamente sus prácticas de procesamiento de datos en su aviso de privacidad.

Mencionar que la estrategia digital y de datos de la UE sigue en marcha con nuevos proyectos en la frontera —algunos de ellos ya en marcha—: Ley de Inteligencia Artificial, la Ley de Datos, la Ley de Mercados Digitales o la Ley de Servicios Digitales. Al mismo tiempo, existe un mayor deseo de mejorar la regulación de la ciberseguridad.

"A medida que más leyes regulan el uso de datos personales y no personales, que la tecnología continúa evolucionando y que los datos son un recurso cada vez más valioso, las organizaciones están pensando de manera integral en sus programas", añade Félix Llorente.

En cuanto a lo que se prevé de cara al futuro con respecto al RGPD, es cierto mencionar que se implementó en 2018 y desde entonces han surgido nuevas tecnologías y formas de procesar datos, como la inteligencia artificial, la automatización y el aprendizaje automático. Sin embargo, esta es una ley de protección de datos muy completa y flexible que se puede adaptar a estas nuevas tecnologías. 

De hecho, el RGPD incluye una disposición que establece que la Comisión Europea debe evaluar la ley cada 4 años y presentar propuestas para su mejora si es necesario. "Se espera que continúe siendo un modelo para la protección de datos personales en todo el mundo", finaliza el experto.