El mal uso de nuestros datos va a salir muy caro a las grandes empresas
Con la entrada en vigor del nuevo reglamento, el importe de las multas a los gigantes tecnológicos por incumplir sus obligaciones podrá llegar a multiplicarse por mil
Es mejor pedir perdón que pedir permiso. Esta frase, que resume toda una declaración de intenciones y presenta ciertos síntomas de picaresca española, sonaría estremecedora en la boca de un alto ejecutivo de una compañía que maneje los datos de cientos de miles de usuarios. Y aunque no se conozca un caso como este, en el que la predisposición empresarial hacia las malas prácticas en el tratamiento de la información sea tan evidente, queda claro que si lo hubiera sería necesario pararle los pies.
En un momento en que la sociedad empieza a ser consciente del valor que tienen sus datos en el mundo digital, es imperante vigilar el uso que hacen las empresas de ellos para garantizar unos derechos a los ciudadanos que hace un par de décadas no podíamos llegar a imaginar que necesitaríamos. El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entra en vigor el 25 de mayo, pretende brindar a los usuarios mayor tranquilidad en este sentido, pero, ¿sirve de algo?
“El usuario está protegido tanto con la actual legislación como con el GDPR”, sostiene José Luis Piñar, delegado de Protección de Datos del Consejo General de la Abogacía Española. “La diferencia es que el nuevo reglamento viene a dar respuesta a la necesidad de un mayor control del usuario sobre sus datos personales, lo que comienza con la transparencia del tratamiento y sigue con los nuevos derechos”. Y, por supuesto, con las sanciones.
El pasado marzo la Agencia Española de Protección de Datos multó a Facebook y a su filial Whatsapp con 600.000 por cruzar datos entre ambas sin el consentimiento de sus usuarios. Un mes después, la red social publicaba sus resultados trimestrales: más de 4.000 millones de euros ingresados en los primeros 90 días del año. De acuerdo a estos números, Facebook tardó apenas 20 minutos en generar el dinero para pagar la multa.
La relativa inmunidad en la que viven las grandes empresas en lo relativo al tratamiento que hacen de los datos de sus usuarios en el medio digital promete llegar a su fin —o, al menos, empezar a hacerlo — con la llegada del GDPR. Las diferencias en las sanciones que establece la nueva normativa no son tantas como puede parecer, pero establecen un marco común en Europa que consolida las políticas llevadas a cabo en este campo hasta la fecha en un estándar que exige más a las compañías y brinda mayor protección a los usuarios.
Actualmente, las sanciones que establece España por incumplimiento de la Ley de Protección de Datos se clasifican en tres niveles: leves, en las que las multas pueden ascender hasta 30.000 euros; graves, de hasta 300.000 euros; y muy graves, donde se establece un techo de 600.000 euros. Aunque el límite puede ser superior. Una violación por parte de una empresa puede conllevar varias infracciones, como sucedió con la multa de 1,2 millones de euros que impuso la AEPD a Facebook el pasado septiembre —la mayor hasta la fecha— por vulnerar la privacidad de sus usuarios, en la que se entendió que la compañía incurría en dos faltas graves y una muy grave.
El nuevo reglamento viene a dar respuesta a la necesidad de un mayor control del usuario sobre sus datos personales
El problema es más que obvio: ¿qué es un millón de euros para Facebook, o incluso los tres millones que contemplan actualmente las autoridades francesas? En muchas ocasiones, el valor que generan infringiendo la ley compensa el importe de la multa. “No puedo evitar sorprenderme de lo pequeña que es la cifra que tienen que pagar cuando pienso en la forma en que las caras de mis hijos han alimentado el desarrollo del reconocimiento facial”, reconocía Aurélie Pols, analista de datos experta en ética y privacidad, a EL PAÍS Retina hace unas semanas.
Con el objetivo de disuadir a las empresas de dejar de cumplir con su obligación, la nueva normativa trae consigo un incremento en el límite en el importe de las multas. “El GDPR establece dos niveles, frente a los tres que contempla la actual legislación española”, explica José Rodríguez, delegado de protección de datos de Cornerstone OnDemand. “El primero llega hasta 10 millones de euros o el 2% del volumen de negocio anual de la compañía e incluye sanciones por obligaciones generales, como las de seguridad. En el siguiente nivel, las compañías pueden pagar hasta 20 millones de euros o el 4% de sus ingresos por violaciones más graves, como evitar pedir el consentimiento de las personas para utilizar sus datos de una determinada manera”.
No está mal si lo comparamos con la cifra de la que hablábamos antes: los 600.000 euros de multa a Facebook suponen un 0,0046% de su facturación de 2017, prácticamente 1.000 veces menos de lo que podrían llegar a pagar si infringen la ley en este nuevo marco europeo, donde una sanción ejemplar podría alcanzar los ocho ceros (cientos de millones). No cabe duda de que el efecto disuasor es considerablemente mayor.
Al margen de la cifra definitiva, el GDPR añade un factor interesante a la ecuación: si una autoridad en protección de datos no está de acuerdo con la sanción que va a imponer otra, la resolución correrá a cargo del Comité Europeo de Protección de Datos. “Esto podría suponer que las multas aumenten en ciertos casos para garantizar la aplicación coherente del reglamento”, razona José Ángel Sandín, consejero delegado de Lefebvre - El Derecho. “En cualquier caso, las multas administrativas tenderán a ser efectivas, proporcionadas y disuasorias”.
