Dos años después, ¿qué ha conseguido el RGPD?

Tal día como hoy, 25 de mayo pero de 2018 se hizo de obligado cumplimiento un reglamento que entró en vigor el 24 de mayo de 2016 y que, supuestamente, iba a cambiar muchas cosas en el tratamiento de datos personales. Nos referimos al Reglamento general de protección de datos aprobado en la Unión Europea y que se preparó para mejorar el tratamiento que las empresas hacen de los datos personales de los ciudadanos europeos. Dos años después, echamos la vista atrás y vemos que impacto ha tenido y a que desafíos se enfrenta.

¿Lección aprendida?

No cabe duda que desde su entrada en vigor en 2016 y obligado cumplimiento en 2018, se ha observado un notable incremento en lo que respecta a concienciación relacionada con la privacidad y protección de la información. Sin embargo, dos años después, aun queda mucho camino por recorrer ya que, aunque durante varios meses el cumplimiento del RGPD estuvo en boca de todos, parece que muchas empresas se limitaron en enviar correos informativos y actualizar sus webs avisando de la recopilación de datos privados.

Con el RGPD se instaba a las empresas a adoptar aquellas medidas que fuesen necesarias para garantizar la seguridad de la información almacenada y correspondiente a sus clientes y usuarios. Estas medidas son variadas y, a pesar de que no haya un listado concreto, se hacía hincapié en el cifrado de la información sensible, el control de los accesos a los datos confidenciales y la adopción de medidas de seguridad que evitasen que las amenazas pudiesen acceder a las redes corporativas y robasen este tipo de información.

Sin embargo, la situación actual es bastante preocupante en lo que respecta a la seguridad de la información almacenada por las empresas, con robos y filtraciones produciéndose constantemente y millones de datos confidenciales siendo vendidos o directamente ofrecidos de forma gratuita en foros de delincuentes. Esto nos lleva a preguntarnos si muchas empresas se tomaron en serio el nuevo reglamento o solo se preocuparon por cumplir con lo mínimo de cara a la galería.

Multas ejemplares

Una cosa está clara, las medidas de seguridad necesarias para mejorar la protección de los datos de los clientes y usuarios que gestiona una empresa no se adoptan de un día para otro. Es por eso que la entrada en vigor del RGPD se realizó hace ahora 4 años, dando un margen de 2 años para que las empresas adoptasen las medidas adecuadas y hacer este reglamento de obligado cumplimiento.

A pesar de este largo plazo de tiempo, seguimos viendo como la implementación de la seguridad es deficiente en muchos casos, y no solo en las pequeñas y medianas empresas sino también en grandes corporaciones. Es más, los delincuentes incluso se han aprovechado de las multas a las que se exponen aquellas empresas que sufren un ataque que afecta a los datos de sus clientes para extorsionarles y chantajearles con filtrar la información robada en un ciberataque.

Estas multas se han producido en casos concretos como el incidente que afectó a la cadena de Hoteles Marriot o la multa ejemplar a Facebook por el escándalo de Cambridge Analytica, así como también la multa aplicada a la aerolínea British Airways. Y si bien estas multas cuantiosas podrían servir como ejemplo para el resto de empresas, la realidad es que el aumento de ataques y las filtraciones relacionadas con los datos de usuarios y clientes no ha dejado de aumentar en los últimos meses.

La parte positiva

Si bien aun queda mucho camino por recorrer en lo que se refiere a la aplicación de las medidas de seguridad necesarias en las empresas para proteger la información sensible, hay varios puntos positivos que podemos sacar de la entrada en vigor del RGPD. Uno de los más importantes, sin duda alguna, es el dialogo social que existe actualmente y los debates que se forman cada vez que se quiere alterar la privacidad de los usuarios.

Podemos poner como ejemplo la situación actual de emergencia sanitaria y en el que las aplicaciones móviles de detección de infectados por la Covid-19 parece que han jugado un papel importante en aquellos países en los que se han utilizado. No obstante, gracias a la sensibilización que tenemos por el RGPD y otros reglamentos similares en otras regiones del planeta, se está debatiendo mucho sobre como usar aplicaciones de estas características sin infringir los derechos de los ciudadanos sobre sus datos privados.

Sin embargo, hay que tener en cuenta que en situaciones como la actual, EL RGPD permite a las autoridades sanitarias el procesamiento de información personal sin requerir el consentimiento del usuario, en aras de proteger la salud pública. Se podría, por ejemplo, obtener información acerca de la ubicación de las personas, siempre que esta sea procesada de forma anónima.

Conclusión

En definitiva, podríamos decir que el lanzamiento del RGPD y otros reglamentos similares ha fomentado que se ponga la privacidad de lo información de los usuarios en el centro de los debates. Para empezar, tenemos el derecho a saber quien está recopilando información personal y con que fines y eso es algo que seguirá siendo una preocupación ahora y, esperemos que también a largo plazo.

Josep Albors

Los emails con supuestas facturas siguen causando problemas