Introducción
Hace ahora un año empresas y usuarios españoles estábamos inmersos en un caos como consecuencia de la entrada en aplicación, el 25 de mayo de 2018 (2 años después de su aprobación y publicación) del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (SP/LEG/19835), más conocido por Reglamento de Protección de Datos o simplemente por sus siglas, GDPR (versión inglés) o RGPD (versión española).
Seguro que todos nosotros fuimos receptores de decenas de correos electrónicos recibidos ese 25 de mayo de 2018, o en los días que lo escoltaban, precediéndole o sucediéndole, en los que con mayor o menor gracia en la redacción nos pedían nuestro “consentimiento expreso” para seguir tratando nuestros datos. Para mí, ello representó el máximo exponente de aquel episodio de locura colectiva que pareció entrarnos a muchos de nosotros, ya sea desde la posición de la mercantil que se ve obligada a mantener su base de clientes y su relación digital con ellos, o desde la perspectiva de consumidores que de repente nos entró un celo especial por proteger la privacidad de unos datos que en muchas ocasiones con anterioridad habíamos descuidado de forma absoluta.
Muchas de las empresas que remitieron esos correos cometieron el error de no haber analizado la situación con anterioridad, o de no haber acudido al asesoramiento de expertos en la materia, y se comprometieron a recabar un consentimiento explicito que en muchas ocasiones ni siquiera era necesario; peor lo hicieron aquellas que después de no recabarlo siguieron actuando como si tal cosa; tampoco los usuarios y consumidores estamos libres de responsabilidad, siendo en muchas ocasiones incongruentes y denegando un consentimiento para unas comunicaciones que nosotros mismos deseábamos y habíamos solicitado.
En definitiva, un año después parece que la calma y la cordura se ha ido imponiendo. Personalmente observo una mayor concienciación, dentro de unos cauces lógicos, en el cuidado y respeto a los datos que manejamos en nuestra labor profesional diaria. Está claro que los cambios siempre cuestan pero que, visto con perspectiva, son útiles y necesarios para el avance y el progreso.
La UE hace balance
El Comité Europeo de Protección de Datos (organismo independiente compuesto por representantes de las distintas autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos -SEPD-), ha hecho público en su web una información que bajo la rúbrica “1 year GDPR – taking stock” repasa, con una visión eminentemente positiva y optimista, este primer año de aplicación en los estados miembros de la nueva normativa común de la que nos hemos dotado en el espacio comunitario.
Así, en dicha información se recogen datos estadísticos tales como la incoación de un total de 446 casos transfronterizos , de los cuales casi la mitad se han tramitado como procedimientos de ventanilla única, de los previstos en el Considerando 127 del Reglamento, teniendo 19 resoluciones a día de hoy.
También se alude a los casos nacionales, destacándose que la mayoría de las Autoridades de Supervisión nacional han informado de un aumento de las consultas y reclamaciones recibidas en comparación con las que se registraron en el año 2017. Según el Comité Europeo, las Autoridades de Supervisión han registrado más de 144 000 consultas y reclamaciones y más de 89.000 violaciones de datos. El 63% de ellos han sido cerrados y el 37% están en curso.
El estudio también incluye referencias al aumento de la sensibilización de los ciudadanos de la Unión sobre los derechos a la protección de datos, citando al efecto el Eurobarómetro de marzo de 2019 cuyos resultados indican que el 67% de los ciudadanos de la UE encuestados indicaron que han oído hablar del GDPR, el 36% de ellos indicaron que son muy conscientes de lo que implica el GDPR. Además, el 57% de los ciudadanos de la UE encuestados indicaron que son conscientes de la existencia de una autoridad pública en su país responsable de la protección de sus derechos en materia de protección de datos (En España, la Agencia Española de Protección de Datos), lo que supone un aumento de 20 puntos porcentuales en comparación con los resultados del Eurobarómetro de 2015.
La presidenta del Comité Europeo de Protección de Datos, la austríaca Andrea Jelinek, asegura que se han alcanzado los objetivos que se propuso el organismo para este primer año.
Algunas sombras en España
Pese al entusiasmo expresado por el Comité Europeo y pese a que, como decía, hemos logrado dejar atrás esa paranoia colectiva que se vivió en los primeros días de aplicación del Reglamento, no todo es positivo ni mucho menos.
En España, durante este año, hemos promulgado una nueva Ley Orgánica de Protección de Datos que, además, regula los derechos digitales. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (SP/LEG/25146) llegó tarde -casi apurando el año- como consecuencia de la situación política en nuestro país y con polémica, como lo fue la modificación de la Ley Electoral General (Ley Orgánica 5/1985 –SP/LEG/4009-), añadiendo un nuevo artículo 58 bis que bajo la rubrica “Utilización de medios tecnológicos y datos personales en las actividades electorales” supuso un enorme revuelo mediático y social al habilitar a los partidos políticos para la utilización, bajo ciertos requisitos, de los datos personales del electorado para actividades de propaganda y actos de campaña durante periodo electoral. Mucho se escribió sobre esto, incluido el que suscribe (“Partidos Políticos y datos personales de los ciudadanos. ¿Qué pueden usar y para qué?” SP/DOCT/81982). A dicha controversia acaba de ponerle fin el propio Tribunal Constitucional, mediante sentencia (pendiente de publicación oficial mientras escribo estas líneas) que declara contrario a la Constitución y nulo el apartado 1 del art. 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
Además, según un estudio atribuido a la empresa Kaspersky Lab y del que se han hecho eco multitud de medios de comunicación, los datos son menos alentadores, con un tercio de los consumidores que desconocen cómo proteger su privacidad y que ignoran los riesgos inherentes de seguridad que suponen las redes sociales.
En otro estudio, cuya autoría se imputa a la empresa PrivacyCloud, se recoge que las políticas de privacidad del 83 por ciento de las páginas web más visitadas en España son abusivas para el usuario y que, por ejemplo, solo 14 de las 100 páginas web más visitadas en España han adecuado el uso de sus «cookies» y que prácticamente todas las web analizadas (el 99 por ciento) incumplen con la obligación de permitir al usuario rechazar directamente las «cookies» con la misma sencillez con que se pueden aceptar, y en el 9 por ciento de los casos equiparan la cesión de los datos con un «peaje de acceso», ya que no permiten seguir navegando si no se aceptan esas «cookies».
Para un estudio al detalle de la nueva normativa de protección de datos, os recomendamos los «Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD)«, obra en la que expertos de reconocido prestigio en la materia comentan la Ley artículo por artículo: