GDPR: Primer Año
El sábado, la Regulación General de Protección de Datos Europea (GDPR) cruzó la línea de un año, celebrando su primer aniversario desde cuando fue implementada en 25 de mayo de 2018. Por consiguiente, hoy vamos a mirar sobre su impacto dentro la Unión Europea y sobre el hito que este ha alcanzado.
Cuando la regulación apareció en la escena legislativa en 2016, la GDPR creó el efecto de onda trascendental que trajo la protección de datos a la luz pública y sobre las agendas legislativas de todo el mundo. La regulación puso a los titulares de datos de la Unión Europea en el primer lugar, ofreciéndoles nuevos derechos para conceder y revocar autorización para el uso de su información personal, al igual que solicitar su eliminación o el acceso a ella. La GDPR adoptó nuevos conceptos como la intimidad por defecto y según su diseño que tuvo hasta entonces, siendo, sobre todo, la plática de los círculos políticos. Y, sobre todo, hizo que las empresas sean responsables en ojos de ley para la protección de datos de los clientes europeos, sin importar si eran situadas en bloque europeo o en algún otro lugar.
La aprobación de la GDPR provocó una carrera para el cumplimiento de la regulación entre las empresas de Europa y las empresas que se encuentran fuera de sus fronteras. Ellos tienen solo dos años para nivelar sus políticas de protección de datos con los requerimientos de la regulación. Unos han gestionado con éxito la implementación de sus programas cuando la GDPR entró en vigor en 25 de mayo de 2018, pero la mayoría falló en cumplir con el plazo.
En un informe realizado en julio de 2018 por Trust Arc, solo 20% de las empresas encuestadas se gestionaron para implementar el cumplimiento de las estrategias de la GDPR en el tiempo cuando la regulación entró en vigor. Un año después, la función central de la GDPR en el desarrollo del movimiento global para la legislación de protección de datos es inconfundible, mientras que sus consecuencias, en forma de recargos y multas, han empezado a ponerse al día con compañías que fallaron en proteger los datos de los titulares de datos de la UE.
Un año de GDPR en números
Una infografía sobre el cumplimiento y la aplicación de la GDPR, realizado por la Comisióropea para celebrar el aniversario de un año, mostró que 144,376 quejas se han presentado a las Autoridades Nacionales de Protección de Datos (DPAs) en el marco de la GDPR. Las quejas más comunes fueron relacionadas con el telemarketing, correos electrónicos promocionales y vigilancia CCTV. En el mismo tiempo, 89,271 violaciones de datos fueron notificadas a DPAs y fueron iniciadas 446 investigaciones relacionados con las actividades fronterizas de tratamiento de datos, la mayoría siguiendo quejas personales.
De los 28 países miembros de la UE, 25 han alineado su legislación nacional con la GDPR. Las otras tres, Grecia, Eslovenia y Portugal, siguen trabajando en la integración de la nueva regulación en sus leyes nacionales.
Un estudio recientemente iniciado por IAPP, ha revelado también que aproximadamente 375,000 empresas en 12 países miembros de la UE están documentadas como haber registrado oficiales la protección de datos (RPDs) con DPAs. El número de toda el Área Económico Europeo está estimado a ser mayor, alcanzando hasta 500,000. Estas cifras contrastan marcadamente con las modestas estimaciones del número de RPD que se estaban distribuyendo antes de la aplicación de la GDPR. La propia IAPP había predicho un conservador 75,000.
El Impacto Internacional
La GDPR ha tenido un impacto masivo sobre la legislación internacional de protección de datos, debida parcialmente a su política para la transferencia fronteriza de datos que prohibió la transferencia de información de los titulares de datos europeos a través de las fronteras, a menos que los terceros países tengan colocado un nivel adecuado de la protección de datos. Estas decisiones adecuadas están tomadas por la Comisión Europea. Mientras que existen cláusulas adicionales que permiten la transferencia de datos a través de las fronteras bajo ciertas circunstancias, como un consentimiento previo ofrecido por los titulares de datos o el uso de las Normas Corporativas Vinculares (BCRs), más países miran para ganar una decisión adecuada para garantizar un flujo fluido de información entre sus países y el Bloque Europeo.
Además de estas consideraciones provocadas por motivos económicos, las discusiones generadas por la GDPR han traído la cuestión de la privacidad y de la protección de datos en la esfera pública y han ayudado a las regulaciones preliminares existentes a ganar ímpeto y cruzar la línea de meta en adoptación.
Países, desde Canadá, EEUU y Brasil hasta Japón, India y Australia, se han inspirado del nuevo estándar establecido por la GDPR y han adoptado una nueva legislación o han actualizado su legislación ya existente para alinearla con la GDPR. Y la pelota sigue rodando: los EEUU están debatiendo de manera muy seria una ley federal de protección de datos y países como Tailandia se adjuntan para entrar en la lista cada vez más larga de países con una ley de protección de datos post-GDPR en vigor.
Las multas de la GDPR hasta ahora
Un año después, las multas escarpadas de la GDPR ganaron mucha atención. Sólo CNIL de Francia se arriesgó y sancionó a Google con 50,000,000 € para falta de consentimiento en los anuncios, una decisión del gigante técnico la contesta. Otras multas han sido aplicadas también, más notable en Alemania se han impuesto 75 multas por valor de 449,000 € y en Polonia una empresa que hace corretaje ha recibido una multa en valor de 220,000 € por omitir en anunciar a los ciudadanos que sus datos han sido procesados. De todas formas, todavía no se ha emitido la multa máxima en valor de 20,000,000 € o 4% de la facturación global anual de una empresa.
La razón por esto es sencilla. Muchas DPAs han optado en permitir a las empresas a iniciar periodos de adaptación que en su mayoría ofrecen orientación a las organizaciones para que puedan comprender mejor sus nuevas obligaciones en virtud de la GDPR. La mayoría de los analistas están de acuerdo en que el período de indulgencia ha llegado a su fin y que las empresas que no se tomen en serio el GDPR y sus requisitos, lo harán por su cuenta y riesgo. Se espera que las multas aumenten y se multipliquen a medida que las APD se quiten los guantes de seda y utilicen todo el alcance de sus poderes para hacer cumplir la GDPR.
