GDPR son las siglas de General Data Protection Regulation (en español RGPD) y es una de las palabras más escuchadas este año en el panorama empresarial y tecnológico. Los que llevamos años en el sector nos lo veíamos venir, aunque creo que ninguno nos habíamos imaginado llegaría con tanta fuerza. Y todos nos preguntamos, ¿por qué tanto revuelo con esta ley? ¿por qué a “todas” las empresas les urge adaptarse? ¿por qué ahora?.
Antes de la entrada en vigor de esta ley, teníamos la LOPD e incluso anteriomente ya se trataban estos temas en otras leyes en España. Pero algo ha pasado durante los últimos meses, algo que nos ha hecho concienciarnos de que las empresas han de cuidar los datos de los usuarios y respetar su privacidad, siendo más transparentes y, sobre todo, más cuidadosas en el trato que se realiza de los datos.

Sin entrar en detalles de cómo cumplir el GPDR (seguro que has visto muchos artículos al respecto y no aportaría ningún valor), la anterior ley, la LOPD, provenía de una directiva europea en materia de protección de datos. En cambio, la GDPR, ha cambiado de forma legal y te trata de una regulación europea. Esto puede ser algo significativo de cara a la legislación y las instituciones, pero no creo que de cara a las empresas haya sido la clave del cambio de mentalidad.
Sonadas ha sido las publicaciones en las noticias casos de sentencias a grandes empresas (como Facebook y el juicio a Marc Zuckerberg), lo que siempre genera una gran repercusión y hace que se demuestre que la ley aplica a las empresas en estas materias. De cualquier forma, como siempre ha ocurrido, es complicado asociar a una macro corporación con una empresa de menor tamaño en estos aspectos, pensando -por supuesto de forma errónea- que al no tener tanta visibilidad, no se fijarán en nosotros las autoridades competentes.
A pesar de que los anteriores argumentos son de mucho peso, los hemos tenido otras veces: nuevo cambio de ley y noticias que buscan la ejemplificación.  Entonces, ¿qué ha ocurrido está vez? ¿qué ha desencadenado este revuelo por la nueva ley?
Creo que la clave se encuentra, como bien ha dicho mi buen amigo Álvaro Orts, en una charla de sus charlas que he escuchado, en que la GPDR ley también afecta a empresas no europeas que operan en el mercado europeo, es decir, a todas las empresas que conocemos y que utilizamos cada día, a nuestros partners tecnológicos que nos prestan servicios y sin los que, casi de seguro, no podríamos seguir operando de la forma que lo hacemos actualmente.
No sé si he sido el único, pero no he deja de recibir, prácticamente desde la entrada del nuevo año, notificaciones de estas empresas con vídeos, artículos e emails en los que explicaban qué es la ley y cómo se van a adecuar a ella. ¿No es esta la mejor publicidad que se puede hacer? Cada día, empresas colaboradoras, me dicen que se están adaptando a una ley que les obliga a tomar nuevas medidas, sin las cuáles no pueden operar, lo que hace que yo me pregunte lo mismo, investigue y, finalmente, me conciencie que me toca adaptarme a la ley para poder continuar con mi negocio.
El GDPR ha entrado en vigor el 25 de mayo de 2016, aunque, como decíamos, han sido estos últimos meses, cuando la fecha que aplicaba la derogación de las leyes previas ha estado cercana (25 de mayo de 2018), cuándo todo el mundo se ha acordado de ella. Qué casualidad, ¿no? Muy típico -y sobre todo español-.
A gusto de un servidor, que ha intentado promover un proyecto innovador de cumplimiento legal entre 2013 y 2016, le ha venido un poco mal que sea justo ahora, cuando 2 años después, todas las empresas se conciencia y preocupan por cumplir con unos mínimos en materia de privacidad y protección de datos que deberían llevar haciendo durante toda su vida. Pero las cosas son así, el “momentum” es importante y siempre debemos ver el vaso medio lleno: mis datos y privacidad estarán más protegidos a partir de ahora.
Pero, a pesar de todos los avances de este nuevo reglamento, creo que aún quedan muchos flecos que pulir. Aspectos que quedan en el aire y que seguirán estando en la indefinición y, por tanto, no se tendrán en cuenta.

Cookies, la parte más visibile y criticada

Con la última actualización de la LSSI (otra de las leyes que afecta a los negocios digitales y que no te debes perder si tienes uno) se ha incluido la necesidad de que todos los soportes tecnológicos que utilicen sistemas de almacenamiento de datos personales (normalmente conocidos como cookies, aunque también pueden ser otro tipo de almacenamiento) han de mostrar una primera capa de información, siempre visible por el usuario, en el que se notifique de su uso y se proporcione la opción de aceptación (o no).
Este requisito, ha derivado, en la mayoría de las ocasiones, en un banner inferior en la página web que muestra un texto “copypasteado” indicando que se utilizan cookies, con un simple botón de aceptar. Por supuesto, esto no cumple con el anterior requisito, ni mucho menos. Pero, por suerte, tenemos algunos otros casos en los que sí muestran un botón de “no acepto” que, con más o menos acierto, en caso de ser seleccionado nos lleva a otra página web (lo que nos hace estar incumpliendo otra ley, la conocida como Ley Sinde).
¿Dónde ha quedado la opción de que el usuario acepte o no el uso de estos medios de almacenamiento? Por suerte, cuando investigamos con más detenimiento, nos encontramos con algunas empresas que parece que sí se leen las leyes y las intentan aplicar de la mejor forma posible. Este es el caso de Mailchimp (uno de los grandes perjudicados en el momento de la derogación del Safe Harbour en contraposición con sus competidores europeos), que parece sí se ha preocupado por ofrecer al usuario el control de qué hacen con sus datos, pudiendo elegir qué cookies quiere aceptar y cuáles no, sin obligarles a ir a otra página en caso de no aceptar el uso de alguna de ellas.

 

Prueba de consentimiento. ¿Dónde está el contrato?

Igual que cuando firmamos la compraventa de un coche, una casa o cualquier documento en el que aceptamos unas condiciones en particular, ¿qué ocurre con las páginas web y las condiciones que aceptamos? ¿Qué estamos firmando? ¿Cómo podemos saber que lo que hemos firmado ayer es lo mismo que aplica hoy?
Desde mi punto de vista, de poco sirve poner 10 casillas de verificación en las que el usuario pueda decir si acepar o no unas condiciones, si después no tenemos forma de verificar qué ha aceptado el usuario. No conozco, aún, ningún sistema que almacene un screenshot o registre los términos concretos que un usuario acepta para un formulario, un día concreto, a una hora concreta. ¿Y si mañana la empresa cambia sus políticas y da por entendido que las hemos aceptado? ¿Cómo podemos justificar qué es lo que hemos aceptado?
La ley exige a tener una prueba de consentimiento (además de la prueba de cumplimiento) que las empresas no están teniendo en cuenta y que parecen muy lejanas a ello.
¿No tendría sentido, igual que cuando firmamos cualquier contrato, que la empresa tenga una copia y el cliente otra? ¿No sería muy conveniente que exista un sistema de verificación, fiable, de qué se ha firmado y cuándo?
Actualmente, estos sistemas son casi inexistentes (se escuchan rumores sobre una empresa de inbound marketing que está trabajando en ello, pero aún no se conoce para cuándo) y parece que están muy lejos de ser implantados por la mayoría de las empresas.

Conclusiones

Estoy aún alucinando con el grado de penetración que ha tenido esta nueva ley. Nunca me hubiera imaginado llegar a este nivel de concienciación por parte de las empresas en cuanto a privacidad y normativa. Ha sido un gran paso. Aunque ya ha entrado en vigor y aún hay muchas empresas que no están adaptadas, el proceso continúa y poco a poco se va reduciendo el número.
Se trata de un gran paso en la privacidad de los usuarios y, por qué no decirlo, en la mejora de los procesos de las empresas. Siempre he defendido este tipo de leyes, no porque me interesara el negocio, sino porque recomendaciones como hacer backups o mantener los datos seguros es imprescindible para el negocio. Estoy convencido que ayudará a la mejora de las empresas a nivel digital y que es el principio para parar la sangría de datos que se estaban manejando de usuarios, traficando con ellos.
También creo que aún existen muchos retos, como el de la prueba de concepto -del que pronto habrá noticias frescas- que han de ir resolviéndose día a día con el trabajo de innovadores, empresas privada e instituciones.
¿Qué opinión te merece la GPDR? ¿Estás de acuerdo con mis reflexiones? Te invito a participar en el debate y, por supuesto, a dialogar.