España, empresas y RGDP

En mayo de 2020, se cumplirá el segundo aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). A nivel usuario, quizá, ya no nos acordemos de qué se trata, pero estoy segura de que sí recordamos el aluvión de e-mails que recibimos en la misma fecha, pero del año 2018, cuando todas las empresas (webs de venta, blogs de consulta, páginas a los que ni si quiera recuerdas haber entrado) necesitaban adaptar sus bases de datos al nuevo RGPD.

Tras el cambio legislativo todos nos vimos obligados a familiarizarnos con él, dando nuestro consentimiento o no, muchas más veces, por no decir cada vez, que utilizabas la red.

Con la perspectiva que nos ha dado el paso de los años, podemos hacer una valoración de cómo nos ha afectado este nuevo Reglamento tanto a los usuarios como a las empresas:

El principal objetivo del RGPD era que los ciudadanos tuvieran mayor control sobre los datos personales que facilitaban a las empresas. Parece ser que lo podemos dar por cumplido. Los clientes se sienten más seguros respecto al tratamiento de su información lo que se ha traducido en una mayor confianza en las empresas.

Las empresas que han seguido correctamente el marco legal se han visto beneficiadas en varios aspectos. En relación con lo que acabamos de comentar, las compañías que han decidido aplicar las normas han ganado en reputación, ya que con su implantación y cumplimiento han tenido la oportunidad perfecta para demostrar a sus usuarios que se toman en serio el tratamiento de sus datos, demostrando compromiso y transparencia. De ahí las mejoras en su reputación.

La obligación que supuso para las empresas el tener que revisar las bases de datos fue una gran oportunidad para digitalizar su información, ya que aprovechando el enorme trabajo que suponía adaptarse a la ley, decidieron trasladar toda la información a la nube. Quizá fue la forma de encontrar el momento perfecto de hacer algo que, aún queriendo hacer, siempre se posponía.

Además, que los usuarios tuvieran que confirmar que querían pertenecer a la base de datos de la empresa fue de gran utilidad para conseguir actualizar los datos personales y hacer limpieza. Renovar la información que pudiera ser incorrecta, actualizarla o eliminar a aquellos usuarios que ya no estaban interesados en mantener el registro ha beneficiado a las compañías que ahora centran sus esfuerzos en aquellas personas que realmente quieren seguir manteniendo el contacto.

Sin embargo, no todo han sido ventajas. Los principales inconvenientes que se han identificado son los siguientes:

  • Grandes cargas de trabajo: todas las organizaciones tuvieron que asumir una gran carga de trabajo, tanto por el envío masivo de emails para conseguir el consentimiento de los usuarios, como por el cambio que tuvieron que realizar en los procesos de recopilación correcta de datos.
  • Pérdida de contactos: aunque hemos identificado como una ventaja la limpieza que se produjo en las bases de datos, la realidad es que también se han perdido muchos contactos de personas que sí estaban interesadas en estar inscritas en ellas, por el simple hecho de haber olvidado o haber pasado por alto los emails para dar su conformidad con el registro de su información.
  • Mayor burocracia: es cierto que a nivel europeo este nuevo reglamento ha supuesto una unificación normativa para facilitar el trabajo a las multinacionales, lo que en la práctica se ha desarrollado como un nuevo trámite burocrático entre los usuarios y las empresas.
  • Muchos servicios como las plataformas de video online o los productos financieros necesitan los datos del usuario para operar. El RGPD ha obligado a multitud de compañías a rediseñar y adaptar tanto los sistemas de registro como los propios productos.

Una vez superado el momento de la implantación y todo el trabajo que supuso, la conclusión es que el RGPD ha conseguido acercar a las empresas y a los usuarios, explicándoles a dónde va su información, qué es lo que saben sobre ellos, dónde se utiliza y con quién la comparten.

En España, ¿cumplen las empresas los requisitos?

Según un estudio del Instituto de Investigación de Capgemini el 28% de las organizaciones afirma cumplir la normativa y un 30% señala estar «cerca de» conseguirlo, pero que siguen resolviendo de forma activa las cuestiones pendientes. La tasa de cumplimiento más elevada corresponde a Estados Unidos (35%), seguido de Reino Unido y Alemania (en ambos, un 33%), y la más baja a España e Italia (en ambos países, un 21%) y a Suecia (18%).

Esto no significa que no se hayan tomado medidas, pero sí que la adaptación está siendo más lenta de lo esperado. El dato más preocupante es el grado de satisfacción que muestran las empresas españolas con el cumplimiento de esta obligación que es de 8 sobre 10. Si se percibe que las cosas ya se están haciendo bien, pero siguen adaptándose, el riesgo para los datos es evidente.

El problema es que esta adaptación en muchos casos ha sido más hacia la galería, haciendo el envío de los emails para solicitar el consentimiento y cambiando el mensaje de las cookies, sin llegar a hacer un análisis de riesgos riguroso ni modificando el diseño de protección de datos. Esta compañías destacan la complejidad que supone cumplir con los requisitos del reglamento los costes de su implementación y los desafíos que plantean sus infraestructuras tecnológicas heredadas, como dificultades para su cumplimiento.

La sensación que hay entre los expertos, como los de Dposa, consultoría con gran experiencia en RGPD, es que hasta que no haya un caso mediático en el que se aprecie cómo las consecuencias del no cumplimiento de la Ley puede afectar a una empresa, no se pondrán las pilas. El día que una multa económica suponga un problema para una empresa empezarán a hacer preguntas a los profesionales que ya se han adaptado.

Afortunadamente, el 93% de las empresas españolas tiene planes de futuro para mejorar sus procesos de cumplimiento con el RGPD. Otra cuestión diferente es a qué ritmo lo hacen.