El año pasado por esta época, seguramente tu bandeja de entrada estaba inundada de emails pidiéndote que prestaras tu consentimiento a nuevos términos y condiciones. Así es como la mayoría de nosotros nos familiarizamos con el RGPD por primera vez. Hoy hace exactamente un año que el RGPD entró en vigor y hemos pedido a abogados expertos en privacidad alrededor del mundo que nos cuenten sus impresiones sobre el primer año de vida del RGPD. ¿Ha mejorado la protección de los usuarios? ¿Se gestionan mejor los datos? ¿Qué medidas, que verdaderamente funcionen, podemos implementar para mejorar nuestra privacidad? Aquí tienes las repuestas.
Sara Fernandez, Privacy Strategy Director en Liberty Global:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
La mayoría de empresas han realizado un gran esfuerzo para implementar el RGPD, analizando sus sistemas, transformando sus procesos y limpiando los datos innecesarios que habían conservado durante años.
El RGPD se ha traducido en grandes mejoras en términos de gobernanza de datos, toma de decisiones estratégicas respecto al uso de datos, monitorización y concienciación.
El riesgo de multas elevadas ha hecho que las empresas se tomen la privacidad y la seguridad en serio.
Pero aún queda mucho por hacer: las empresas deberían pasar de un enfoque sobre la privacidad puramente de compliance, estilo “tick in the box”, al desarrollo de la experiencia de usuario entorno a la privacidad, incluso convirtiéndola en una ventaja competitiva. Para ello es necesario invertir en herramientas que puedan ayudar a los consumidores a gestionar sus datos de forma sencilla.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Dado que trabajo en una compañía global, mi experiencia es que todavía queda mucho por hacer en términos de harmonización, ya que las autoridades nacionales tienden a interpretar el RGDP a la luz de sus diferentes marcos históricos. El European Data Protection Board (EDPB) será muy útil para ayudar a alinear las distintas interpretaciones.
Los usuarios están ciertamente mejor protegidos que antes de que el RGPD entrara en vigor, aunque existen algunas provisiones que han podido tener el efecto contrario al que originalmente se perseguía. Especialmente aquellas relacionadas con la información relativa a como y porqué se procesan los datos. El RGPD ha fijado un principio de transparencia pero en este momento el artículo 13 exige que las compañías proporcionen tanta información que al final, el consumidor se pierde en medio de densas declaraciones de privacidad, que son como contratos que casi nadie lee o entiende realmente. Menos es más. Se requiere un esfuerzo adicional para hacer que las comunicaciones sobre privacidad sean simples.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Incluso si utilizamos un lenguaje claro y sencillo, la realidad es que la digitalización está tan extendidad que la mayoría de productos y servicios que los consumidores adquieren hoy en día involucran el tratamiento de datos. La gestión de nuestra privacidad se ha convertido en una carga. La mayoría de las veces tenemos prisa, no queremos perder tiempo en gestionar la privacidad de todas nuestras aplicaciones e interacciones digitales.
La solución este «empacho» podría ser un tipo de “pasaporte de privacidad” o cartera digital, donde los usuarios pudieran insertar sus preferencias en relación con las finalidades, intereses o categorías de proveedores respecto de los que consiente que se traten sus datos. Podría gestionarlo en un único espacio, y ese pasaporte podría interactuar a su vez con cada aplicación que se instalara o servicio al que se suscribiera. Esto generaría un impacto significativo. Si no, continuaremos viendo la contradicción entre lo que los consumidores aseguran (preocupación por la privacidad) y cómo se comportan en realidad (como si la privacidad no les importara).
Pedro Bardisa, asesor jurídico en Renault España:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
Positiva aunque siguen planteándose muchas dudas sobre su aplicación efectiva, dado que más que un Reglamento esta norma tiene “espíritu de Directiva”, al contener 56 referencias a Estados miembros.
En su inicial aplicación hubo demasiado desconcierto a la hora de su puesta en marcha, se lanzaron masivas campañas para obtener el consentimiento de los usuarios, se plantearon dudas sobre las relaciones entre los distintos actores (responsables de tratamiento, encargados de tratamiento, delegados de protección de datos, etc..), que poco a poco se han ido resolviendo si bien aun persisten aspectos por aclarar como la corresponsabilidad, procedimientos sancionadores transfronterizos etc… que esperemos la AEPD vaya, a través de sus guías e informes, aclarando.
Con este nuevo GDPR se ha hecho mayor énfasis en la protección de la privacidad de las personas. Ahora los usuarios son más conscientes de los derechos que les asisten en relación a sus datos personales y privacidad. Como consumidores nos sentiremos más protegidos con aquellas empresas que puedan acreditar que implementan las mejores prácticas en estas materias y esto animará a los usuarios a la hora de adquirir los bienes o servicios en función de aquellas empresas que mejor garanticen la seguridad y privacidad de los datos.
Al propio tiempo, aunque las empresas, en general, han tardado reaccionar, cada vez son más conscientes de la importancia de respetar la privacidad de las personas, pues la implementación de las mejores prácticas en privacidad y seguridad les situará en una mejor posición frente a sus competidores.
Adicionalmente en España se aprovechó para finalmente complementar el GDPR con la nueva Ley española de protección de datos (Ley 5/2018 que deroga la LOPD de 1.999) y que incluye los derechos digitales tales como el derecho a la desconexión digital en el ámbito laboral, la intimidad y uso de dispositivos en el ámbito laboral, protección a los menores, etc.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Efectivamente creo que con el GDPR existe una sensación de mayor grado de protección aunque queda un largo camino por recorrer y explorar. Los usuarios cada vez somos más conscientes de nuestros derechos y sabemos cómo reclamar y a quién reclamar. En cierta medida se ha tratado de transmitir un mayor grado de concienciación sobre el uso de datos personales y privacidad.
A nivel empresarial, ha implicado que muchas empresas hayan dedicado más recursos para ser “compliance” en protección de datos y seguridad, al propio tiempo que se abren nuevas oportunidades de negocio.
En el sector industrial estamos viviendo un constante impacto de las nuevas tecnologías en especial en la relación empresario-trabajador en la que se ve profundamente afectado el derecho a la intimidad que tiene todo trabajador con el legítimo derecho empresarial a ejercitar un control y monitorización sobre la actividad realizada y que nos hace reflexionar constantemente y tener muy presente no solo el GDPR sino este resto de variada la normativa española aplicable en la materia.
El GDPR y posterior Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ha tenido impacto en los sistemas de control de la actividad productiva como las cámaras de monitorización que se puedan instalar en un determinado proceso productivo para asegurar la calidad de su ejecución, los drones utilizados para operaciones de mantenimiento, o incluso suministro de piezas, los sistemas de geolocalización, de comunicación a través de las nuevas tecnologías entre el empresario y el trabajador , y/o entre los propios trabajadores, fichajes, controles de accesos y horarios, desconexión digital, etc.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Invertiría en la educación y concienciación de los menores, trabajando desde el inicio en el uso de nuevas tecnologías. Nuestros menores no son conscientes de la importancia de la privacidad, ya que su interconexión con las, cada vez más utilizadas, tecnologías aplicadas a la sociedad de la información (redes sociales, etc) les podría pasar factura en un futuro.
Creo que en España ni se invierte ni se educa a nuestros menores en el uso de estas nuevas tecnologías que cada vez se desarrollan más rápidamente y se entrometen con mayor profundidad en nuestra intimidad.
Ivana Bartoletti, Head of Privacy y Data Protection en Gemserv y Co-Founder of Women Leading en AI Network:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
¡Ha sido un año muy interesante! Destacaría tres cosas: primero, es fantástico ver cómo el RGPD ha ayudado a que la privacidad vuelva al debate público, desde el reconocimiento facial a Facebook. En segundo lugar, aún hay mucho camino por recorrer en la era del big data y el machine learning . Y tercero, es bueno ver cómo ha influenciado el RGPD en las legislaciones de todo el mundo.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
En parte. El año pasado hubo un gran entusiasmo, en el que las empresas quisieron ponerse al día y enviaron (demasiados) emails antes de la fecha límite. El ICO no ha multado todavía a ninguna compañía por incumplir el RGPD pero ha hecho un gran trabajo de sensibilización y de apoyo a las organizaciones. Los usuarios son más comprensivos pero casos como Cambridge Analytica y Facebook están afectando muchísimo en el Reino Unido en este momento. Estos casos aumentarán la conciencia y la demanda de un mayor control sobre los datos personales.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Las medidas que implementaría serían medidas para proteger la privacidad en la era del big data y los algoritmos. La privacidad es un concepto vinculado a la cultura humana y que debe involucrar la tecnología. Me gustaría que se creara un marco legal en torno a la inteligencia artificial, que incluya kite marks (es decir estándares oficiales de calidad) y un mecanismo que rectificara las decisiones tomadas por máquinas. Así, podríamos garantizar que las decisiones fueran justas y transparentes.
Alexis N. Chun, Co-founder en Legalese:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
Las actividades destinadas a exigir el cumplimiento de esta normativa (p. ej.: contexto laboral – cámaras en el lugar de trabajo, multas de perfil alto (50 millones de euros a Google en Francia) han sido esclarecedoras en, al menos, dos frentes: el primero para las organizaciones, rellenando los vacíos sobre lo que está bien y lo que no, y segundo, relacionados con las personas, el hecho de que sus derechos se apliquen y (en términos generales) se cumplan, sugiere que tiene mayor capacidad de “control” y, no simplemente, mayor protección.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
La Comisión de Protección de Datos Personales de Singapur ha hecho un excelente trabajo de ayuda a las organizaciones de Singapur para comprender lo que se espera de ellas (centrándose en lo explicado en el RGPD, por supuesto). Singapur es, en definitiva, el mayor socio comercial de la Unión Europea en la ASEAN (Asociación de Naciones del Sudeste Asiático). La hoja informativa que ha proporcionado nuestro PDPC es muy útil para entenderlo: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/eu-gdpr-factsheet–041017.pdf. A nivel práctico, la sección de preguntas frecuentes y posibles situaciones (en las cuales el RGPD es más o menos probable que se aplique): https://www.pdpc.gov.sg/Resources/EU-GDPR. han sido de un gran valor para ayudar a la transición RGPD. Realmente, es reconfortante y tranquilizador contar con un regulador local que ofrezca su consejo/perspectiva sobre el cumplimiento de una organización con una regulación extranjera (RGPD). Es el tipo de esfuerzo que lleva a la ley de lo genérico y semántico (es decir, lo que dice la ley) a lo pragmático (es decir, lo que significa para cada uno).
En cuanto a la segunda pregunta, repetiré el segundo punto de la pregunta anterior sobre mi opinión del RGPD.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
A largo plazo, mencionaré la premisa de innovación de Legalese’s: construir un lenguaje sectorial específico de para el derecho, de modo que se pueda construir una ley legible por sistemas de machine learning y que también sea consumible, también, por una máquina (es decir, contratos, leyes, lógica de procesos de negocios). Esto nos tiene que llevar a pasar de la sintaxis a la semántica y posteriormente a la pragmática. Hay que transformar la práctica de la ley y la mercantilización de la misma, pasando de simplemente utilizar la tecnología para ayudar con el trabajo manual (MS Word) a utilizarla usando el pensamiento. Por ejemplo, el DSL-for-law permitirá que esos diferentes componentes de la ley se entiendan entre sí. Esto significa que puedes utilizar herramientas de software, que los programadores tienen a su disposición pero que ni siquiera tienen nombre, para el derecho: verificación de cumplimiento, pruebas de escenarios/modelado de resultados, análisis estático, pruebas unitarias, paquetes de actualización automática (cada vez que se emite una nueva guía o se decide el caso de ejecución), la gestión de dependencias, etc.
Jorge Morell, Jurista y Legaltech, Founder en TyC:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
En los inicios bastante paranoia y desconcierto, hasta el punto que cuestiones jurídicas ya aplicables antes eran “descubiertas” y requeridas ahora como novedades. En todo caso, con el paso del tiempo tanto empresas como usuarios han ido adaptándose a las novedades que el Reglamento General de Protección de Datos ha implicado. De modo que ahora en ese sentido hay mayor calma. De todo modos, es todavía una calma tensa, ya que hasta hace unos meses no comenzaron a conocerse las primeras resoluciones y sanciones de las agencias de protección de datos de acuerdo a la nueva normativa. Algo que de nuevo genera incertidumbre y momentos de duda.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Según los datos publicados por la Agencia Española de Protección de Datos, ha aumentado considerablemente el número de reclamaciones ante la Agencia (un 33% más). También han crecido, al ser una nueva obligación de la normativa, las notificaciones de brechas de seguridad, habiéndose producido más de 400 desde la aplicabilidad del RGPD hace ya casi un año.
En cuanto a si se ha alcanzado un mayor grado de protección de los usuarios y sus datos, quizá todavía sea pronto para saberlo. En todo caso, sí es cierto que gracias al RGPD hemos podido conocer nuevos detalles desconocidos hasta el momento sobre muchos tratamientos (como los plazos de conservación de muchos datos o la base legal para su gestión). Algo que seguramente en el largo plazo favorezca la transparencia en la gestión de la información personal.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Clases obligatorias en los colegios, institutos y universidades sobre protección de datos personales. Hace falta mucha educación en este ámbito, ya que si el usuario no conoce sus obligaciones y deberes en esta materia, de poco van a servir muchos de los desarrollos normativos presentes y futuros.
Elizabeth M. Renieris, Founder en hackylawyER:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
En general, creo que ha sido un año de confusión y caos masivo. Para mucha gente, internet tuvo, de repente, una apariencia diferente, con versiones distintas de web europeas y del resto del mundo (con algunas no disponibles en algunas jurisdicciones), con un incremento de barreras de pago, ofertas de suscripción y actualizaciones de términos y condiciones y políticas de privacidad. Las empresas empezaron, o retomaron, el interés por avisar y divulgar de forma orientada al cliente a través de conferencias sobre, por ejemplo, privacidad y protección de datos. No es una coincidencia que la Cumbre Mundial 2019 de la Asociación Internacional de Profesionales de la Privacidad fuera la más multitudinaria hasta el momento, con más de 4000 profesionales presentes. Por último, para todos los gobiernos del mundo, se reconoció que serían los siguientes, y que los ciudadanos del resto del mundo iban a tener la misma protección RGPD que los ciudadanos europeos. Siento que es el primer año que realmente se ha tenido una conversación global sobre protección y privacidad de los datos, además de cuestiones relacionados con los datos.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
En Estados Unidos, y particularmente en Washington DC, donde estoy situada, el RGPD ha conseguido introducir debates sobre la privacidad y la protección de datos en nuestras cámaras del Congreso. A pesar de ser uno de los líderes mundiales, a través de convenciones internacionales como la Declaración Universal de los Derechos Humanos y medidas nacionales como los Principios de Práctica de Información Justa y la Ley de Privacidad en 1974, el Congreso no ha hecho nada significativo sobre la privacidad en décadas. Esta ausencia de acción coincide con una serie de casos flagrantes de violación de datos en los sectores público y privado, generando una pérdida de confianza en nuestras plataformas digitales que han impactado a casi todos los estadounidenses. La cuestión de si estamos mejor o peor con el RDPG es un tema de mucho debate en nuestra legislatura, y la respuesta depende de las agendas y de los prejuicios políticos preexistentes. En general, tenemos una profunda falta de comprensión acerca de qué es el RGPD y cómo funciona, lo que dificulta nuestra capacidad para tomar esa decisión. Por ejemplo, existe una idea que relaciona el RGPD únicamente a dar consentimiento con un clic. Y eso es falso.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Quizás, la realidad más difícil de confrontar es que no hay una solución mágica. No existe una medida única, ninguna pieza de legislación, acción administrativa, tecnología o solución de mercado, que pueda proporcionarnos una mejor relación con nuestros datos a nivel de individuos, de empresas, de gobiernos y de sociedad global. El progreso será exponencial y requerirá una base de leyes, ajustes de mercado y cambios de comportamiento. Lo más importante es no aceptar una versión derrotista del futuro donde no tengamos control sobre cómo se usan los datos para impactar en nuestras elecciones o decisiones. Además, debemos saber en qué ámbitos carecemos de privacidad en nuestras comunicaciones, pensamientos, acciones y vidas, en general. Si pensamos que se acabó el juego, se acabará. Como dijo recientemente Margaret Atwood en la Cumbre Mundial de IAPP: “debemos recordar cómo era tener una vida privada”.
Óscar Montezuma Panez, Director de Niubox Legal:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
RGPD fue el resultado de elevar sustancialmente los niveles de protección del marco legal existente en un intento de abordar las preocupaciones sobre la privacidad digital, esperando resolver de una vez por todas una compleja cuestión global. A pesar de que el RGPD ha sido un tema candente a nivel internacional en su primer año, y las DPA(Autoridades de Protección de Datos) de la Unión Europea están imponiendo altas multas, no se ha conseguido el cumplimiento total de la ley. Los altos costos de supervisión y cumplimiento pueden ser uno de los mayores desafíos para el RGPD. Además, aún permanecen las preocupaciones sobre el impacto que esta regulación puede tener en términos de innovación y libre flujo de información en el emprendimiento digital.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
El principal impacto en mi jurisdicción ha sido el alcance extraterritorial del RGPD. Hemos recibido muchas consultas de los clientes sobre si el RGPD se aplica al comercio electrónico peruano y a las plataformas digitales de alcance global (es decir, hoteles). Por otro lado, muchas corporaciones multinacionales (es decir, compañías de TI) han estado enviando adendas a los acuerdos de servicios solicitando a sus contrapartes peruanas el cumplimiento total con el RGPD.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Sería demasiado ambicioso y autosuficiente pretender que un fenómeno tan complejo como la privacidad se resolviera solo con la regulación. Por ejemplo, exploraría el uso de herramientas como el diseño legal thinking para la elaboración de políticas más transparentes y de fácil uso a nivel de privacidad, para que los usuarios sean más conscientes de sus derechos.
Marie Potel-Saville, Founder y CEO Paris office en Dot. Legal Innovation:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
Probablemente mi vision sobre la RGPD esté algo sesgada, ya que en una de mis vidas anteriores, fui project manager responsable de implementar un programa de compliance de privacidad y protección de datos a nivel global. ¡Solía “pensar, comer y beber” RGPD!
Mi primera impression es que, en general, durante el primer año de RGPD ha habido una alta conciencia de la importancia de esta materia. Y esa conciencia también ha abarcado la obligación de implantar procesos adecuados más pronto que tarde. No solo en grandes grupos de empresas, sino también en las pequeñas y medianas empresas.
Fue un poco un impacto para mí, ver los resultados del studio realizado por Editions Legislatives, Dalloz y AFJE, en colaboración con Data Legal Drive: el primer barómetro de la RGPD (the first RGPD Barometer).
De acuerdo con los encuestados, en mayo de 2019, un tercio de ellos no había empezado a implementar las medidas necesarias.
Por el lado bueno, el 59% de los encuestados ha nombrado un DPO y el 26% ha nombrado a una persona responsable de privacidad, aunque esta no sea oficialmente un DPO.
Habiendo dicho lo anterior, durante el curso de este primer año de RGPD ha ocurrido un cambio interesante, hemos pasado de la privacidad por diseño a diseñar la privacidad. El legislador francés, CNIL, ya había anunciado este cambio a principios de 2018, incluyendo el diseño como una de sus prioridades.
A principios de 2019, el laboratorio de innovación del CNIL (el “LINC”) consagró al impacto del diseño en el cumplimiento del RGPD, un estudio de más de 30 páginas, titulado Dando forma a las decisions en el mundo digital (Shaping Choices in the Digital World)
El LINC va incluso más allá hasta el punto de abogar por un “triangulo normative” compuesto por el derecho, la tecnología y el diseño, con el objetivo de evitar la manipulación de nuestros sesgos cognitivos a la hora de prestar nuestro consentimiento sin ser plenamente conscientes de ello. El CNIL también anima a los diseñadores a ser más conscientes de su papel central en la protección de datos personales y, por consiguiente en los derechos civiles, y ha lanzado recientemente la “Design Factory”, una comunidad de diseñadores equipados y comprometidos con la protección de datos personales. Desde este momento, los abogados y los diseñadores están incentivados por las autoridades de protección de datos a colaborar.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Un impacto positivo que he visto en Francia y en otras jurisdicciones tiene que ver con las políticas de cookies: algunas páginas web ofrecen ahora la posibilidad de incorporar cookies por adelantado, diferenciando claramente entre las cookies indispensables desde el punto de vista functional y el resto de cookies. Incluso antes de leer la política de cookies misma. Este es una gran paso adelante para empoderar a los usuarios y permitir que vuelvan a tomar el control.
Al margen de lo anterior, hemos estado trabajando para clientes internacionales en el rediseño de sus políticas de privacidad globales. Es interesante ver como el RGDP no solo tiene impacto en la Union Europea o en jurisdicciones donde se procesan datos personales de ciudadanos europeos, sino que en algunos importantes grupos de empresas cotizadas, el RGPD se está convirtiendo en un nuevo estándar global.
RGPD como estándar de “mejor práctica” global es definitivamente una mejora hacia la obtención de una mayor protección.
Ciertamente, el encaje entre la RGDP y las leyes locales alrededor del mundo sigue siendo complicada, pero hemos visto en algunos de nuestros proyectos de privacidad global como implantan el principio de que “el estándar más alto de protección es el que se aplica”
La mentalidad está cambiando.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
La mejor protección es la educación y la conciencia. Estamos trabajando cada día para hacer políticas de privacidad inteligibles, accesibles e interesantes: más protectoras porque los usuarios quieren leerlas.
La aceptación a ciegas ha plagado el “consentimiento” online, no solo en cuestiones de privacidad. Y, claramente, los responsables son los abogados y las empresas: el New York Times ha identificado que se tardaría 76 días en leer todos los términos y condiciones a los que los usuarios prestan su consentimiento en el plazo de 1 año.
Estamos implementando cursos y programas de educación para abogados, diseñadores y empresas en general, para ayudarles a redactar y rediseñar sus políticas de privacidad que expresen los mensajes clave de forma efectiva y devuelvan el control a los usuarios.
La medida que me gustaría implementar es sencillamente mayor divulgación: el derecho, incluyendo la protección de datos, no está condenado a ser oscuro e incomprensible.
Ana Paula Rumualdo, Senior Associate Hogan Lovells México:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
Este primer año ha implicado la necesaria adaptación por parte de controladores y procesadores de datos personales de todo el mundo a la legislación europea. Empresas que operaban bajo la normatividad nacional de pronto comenzaron a preguntarse si les aplicaba GDPR por el tipo de procesamiento que llevan a cabo. Otra cosa que puso rojos fue el plazo máximo de 72 horas para notificar vulneraciones a la autoridad, cuando antes las acciones posteriores a una vulneración debían ser acordes a las leyes de cada Estado miembro. Ahora hay un paso para unificar los protocolos de respuesta posteriores a una vulneración. Hay por supuesto más cambios de fondo, pero estos dos en particular han provocado la revisión y refuerzo de los controles de protección de datos existentes.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Creo que sí puede haber un mayor grado de protección a los usuarios y sus datos. Dado lo elevado de las posibles sanciones, los controladores y procesadores han adaptado sus políticas, aunque me parece que aún es pronto para saber si efectivamente la protección ha mejorado. Aunque las sanciones sean elevadas, pudiera ser que la ganancia obtenida por el manejo de datos personales en violación de RGPD sea mayor que la multa que pudiera imponerse, así que tal vez haya empresas que prefieran pedir perdón que pedir permiso.
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
Lo haría en mi jurisdicción y sería que los particulares que controlen o procesen datos personales (en México les llamamos encargados o responsables) dieran aviso obligatorio a la autoridad (INAI) en caso de que exista un incidente de vulneración. En México la normatividad establece que se debe dar aviso inmediato a los titulares de datos en caso de que la vulneración pueda afectar de forma significativa sus derechos.
Sergio Miralles, Founder at Intangibles Legal S.L.P.:
1. ¿Cuál es su opinión sobre el primer año de RGPD?
Ha habido aspectos positivos, como el hecho que las autoridades de control hayan apostado en general por facilitar la aplicación del GDPR mediante la preparación de guías, documentos interpretativos y formación. Hay que recordar que el GDPR es tal vez la norma más compleja aprobada nunca en el seno de la UE (“Europe’s tough new data-protection law”, The Economist, 5 de abril de 2018).
Asimismo, es destacable la influencia que el GDPR está teniendo fuera de la UE, al ser referente y modelo a seguir por muchas jurisdicciones, por ejemplo, en Asia. Con todo, el panorama regulatorio de la protección de datos en Europa no se completará hasta la aprobación de la nueva Directiva de ePrivacy, cuya tramitación ha sufrido diversos retrasos.
Como aspecto negativo, quizá destacaría la rigidez con la que muchos asesores han interpretado el GDPR en procesos de cumplimiento realizados previamente a la entrada en vigor de dicho reglamento (fruto de la complejidad de la norma, pero también debido al alto grado de estandarización de la mayoría de procesos de cumplimiento normativo). En este sentido, hemos tenido constancia de la solicitud de segundas opiniones, sobre todo por parte de grandes y medianas empresas, al comprobar las mismas que el cumplimiento estricto de los planes de cumplimiento comportaba restricciones relevantes en ciertas tratamientos o acceso a recursos.
2. ¿Cuál ha sido el impacto del RGDP en su jurisdicción? ¿Cree que se ha alcanzado el mayor grado de protección de los usuarios y de sus datos que se perseguía con su aprobación?
Es de destacar el amplio consenso parlamentario que suscitó la aprobación de la nueva LOPD, norma que contiene relevantes exenciones y excepciones respecto al GDPR, así como determinaciones interpretativas del GDPR aplicables en España.
Indudablemente, la amplia cobertura que los medios de comunicación hicieron en 2018 del GDPR ha contribuido a aumentar la concienciación social sobre la protección de datos personales.
La nueva normativa es ambiciosa y compleja por lo que creo que habrá de esperarse al menos 3 ó 4 años para hacer una primera valoración general sobre su efectividad. Un aspecto que será relevante para una correcta aplicación del GDPR será el grado de consenso interpretativo que se alcance entre diversos supervisores nacionales a través del Comité Europeo de Protección de Datos (https://edpb.europa.eu/).
3. Si pudiera implementar una medida dirigida a proteger la privacidad y protección de datos de forma efectiva, ¿cuál sería?
El RGPD y la LOPD son normas que contienen muchos conceptos jurídicos indeterminados (i.e. con definiciones relativamente abiertas) que deben aplicarse atendiendo a las particularidades de cada tipología de tratamientos. Asimismo, el gran impacto que los avances en tecnologías de la información tienen, y tendrán, en este ámbito legal requerirá de una constante revisión y actualización interpretativa. Por todo ello, creo que será muy relevante ofrecer a los responsables y encargados de tratamiento orientaciones sobre los estándares de cumplimiento normativo mínimo. En este sentido, será clave el papel de los supervisores con la publicación de guías y la adopción de resoluciones, y de los tribunales, en su función de revisión jurisdiccional de resoluciones administrativas.
Finalmente, creo que la estandarización técnica para concretos tratamientos (e.g. para hardware empleado en tratamientos de IoT), así como regulación específica para determinados sectores (e.g. investigación con datos de salud, marketing online, etc.) serán medidas de utilidad para una correcta aplicación del GDPR y de la LOPD.
Suscríbete a nuestro newsletter aquí.