El nuevo reglamento de privacidad aprobado el pasado viernes 25 de mayo ha pillado por sorpresa a negocios de todo el mundo
Qué es la GDPR: guía para entender la nueva ley de protección de datos
"¿Por qué recibo estos emails?" y otras preguntas sobre la GDPR
El RGPD o GDPR, el nuevo reglamento general de protección de datos de la Unión Europea, ya entrado en vigor. Seguramente te has enterado de ello por la ingente cantidad de correos electrónicos y avisos que has recibido en las últimas dos semanas pues, aunque la legislación lleva aprobada desde 2016, parece que el toro ha pillado a todo el mundo, usuarios y empresas por igual.
Pero ya ha pasado el chaparrón de consentimientos y correos, ahora queda lidiar con las inundaciones. Aunque el usuario básico no vaya a notarlo en un primer momento, hay muchos negocios, de todo tamaño y tipo, que van a tener severos problemas a corto plazo.
Microsoft, Instagram, Zara, Renfe y un inmenso número de empresas multimillonarias no van a tener problemas para seguir comunicándose con sus usuarios, ya sea porque no recopilan datos para los que necesiten consentimiento o porque dan por hecho ese permiso de manera implícita.
Es algo que contempla la ley y que es totalmente legal: no has dado permiso a Facebook para nada porque la compañía considera que recopilar tus datos es algo legítimo para su servicio y para ti. Te guste o no. Aún así, Facebook, junto con Google, es una de las primeras empresas en haber sido denunciadas por infringir la normativa: según None of Your Business, un organismo sin ánimo de lucro, esto sería un "consentimiento forzado".
Falta de información en pequeños negocios
Si las grandes empresas tienen algunos problemas, las más pequeñas lo tienen aún más crudo. Pongamos, por ejemplo, una tienda de zapatillas de Madrid con un nicho de compradores muy concreto, y que tiene una newsletter y que manda algunos avisos por correo de ofertas. "Está todo parado", asegura Fran, propietario de Nigra Mercato, una tienda especializada en sneakers. "Ahora mismo todavía no estoy adaptado y si me inspeccionan supongo que me podrían multar".
Uno de los puntos críticos de la GDPR son las multas que se pueden imponer por violar el derecho a la privacidad de los usuarios. Pueden ascender hasta los 20 millones de euros o cobrarse un 4% de la recaudación anual, que en el caso de Facebook o Google o Amazon, serían unas cifras inmensas.
En el caso de Nigra Mercato, no serían cifras tan altas, pero el miedo está ahí. "Estoy actualizando para adaptarme. Nosotros en principio no vendemos los datos de nadie, así que adaptarnos a la nueva normativa supondría perder el 90% de los suscriptores que tenemos".
Este es uno de los problemas de recibir tantos mails sobre consentimiento de golpe: no se les ha hecho caso y muchas suscripciones dejarán de funcionar en consecuencia. "Tampoco va a ser mucha sangría en nuestro caso", asegura, aludiendo a que su negocio no depende de la venta de datos ni de esa newsletter que ahora ha quedado paralizada.
"Esto es un caos"
Como en este caso, otras muchas empresas tienen que adaptarse a toda velocidad, y esto está llevando al colapso de las consultorías especializadas en protección de datos y en la adaptación de nuevas normativas.
Un informe de Capgemini no deja lugar a dudas: el 45% de las empresas españolas no está adaptada aún a la GDPR, cifra que aumenta hasta unos temibles 85% si se habla de empresas europeas y de EEUU. Y a final de año, calculan que un 25% todavía no estarán al día.
"Se pueden llegar a necesitar hasta cuatro meses para implantar por completo la legislación", asegura Antonio Quevedo, director general de Audisec."El 25 había que tener unas tareas hechas, las normativas hay que cumplirla ese día, no hacer tres papeles para salir del paso"
Hay muchas empresas españolas a las que les ha pillado el toro no por "un hecho cultural", sino porque esos dos años entre la aprobación y la aplicación del reglamente al final se han hecho bastante cortos.
Quevedo culpa de esto a cierta "inflación" legislativa. "Muchas empresas están cansadas de la carga que supone cumplir con todas las leyes nuevas", a lo que hay que sumar muchas pensaban que "con la actual ley estaban cubiertas, pero no ha sido el caso". "Hay tanta normativa que es difícil estar al dia con ella".
Sean grandes o pequeñas, muchas compañías se han dado de bruces con esta realidad, así como con las limitaciones de las consultorías y abogados especializados en protección de datos. "Esto es un caos. Hay empresas que hicieron peticiones de un jueves por la mañana a un jueves por la tarde, y eso es imposible". Quevedo asegura que, en el caso de su compañía, el número de clientes y de servicios exigidos ha crecido "exponencialmente" y que no dan abasto.
Al desconocimiento y a cierta pereza hay que sumar que la normativa no es sencilla, pero parece que la mayoría de empresas han actuado correctamente. "Las sanciones tienen parte de la culpa. Restar un 4% de la facturación global es muchísimo y esto ha hecho que se pongan las pilas las grandes compañías, y las pequeñas por contagio".
Aún así, ha habido errores en todos los tramos, al margen del tamaño. "En algunos casos", apunta Quevedo, "las empresas estaban ya legitimadas de anteriores ocasiones para tratar con la información, pero ha pasado que mucha gente, mal asesorada, han vuelto a solicitar consentimiento". Lejos de ser algo positivo, esto ha sido un problema para la mayoría. "Si pides una nueva autorización y no te la dan, entonces sí has perdido el permiso".
Los que no quieren saber nada de Europa
Tarde o temprano, los problemas que han surgido a raíz de la aplicación del RGPD tienen solución si ocurren dentro del territorio de la Unión Europea. Pero en empresas que operan fuera, quizá haya bloqueos irreversibles en los servicios.
Si eres lector de prensa internacional, quizás te lleves algún disgusto al consultar medios de comunicación que no son europeos. Aunque en algunos casos te encontrarás con versiones muy pulidas y sin publicidad por defecto, como la de USA Today; si lees Los Angeles Times, vas a pasar unos meses sin información suya: han bloqueado el acceso a los lectores europeos para evitar la GDPR.
Del mismo modo, hay aplicaciones y servicios que han optado por métodos similares. Si jugabas a Ragnarok Online, un popular videojuego online para navegadores de Internet, se acabó la partida: los servidores europeos son historia y no podrás acceder al juego. Klout, un servicio online pensado para redes sociales que mide la influencia de usuarios, dejará de funcionar también para europeos. Y así, un largo etcétera.
Estos bloqueos o limitadores se darán en casos muy específicos, por lo que la mayoría de usuarios que viven en las nubes de Google, Amazon, Microsoft y Facebook no van a tener problemas para seguir haciendo una vida digital similar a la que llevaban antes del 25 de mayo. Todo lo contrario, pues según apuntan muchos crítico, su papel como intermediario se puede ver reforzado con la nueva legislación.